Obtenez de l'horodatage de signature Authenticode de fichiers .NET

Nous avons besoin pour vérifier que les fichiers binaires sont signés correctement avec signature numérique (Authenticode). Ceci peut être réalisé avec signtool.exe assez facilement. Cependant, nous avons besoin d'un moyen automatique qui vérifie également signataire nom et l'horodatage. C'est faisable en C++ natif avec CryptQueryObject() API comme indiqué dans ce merveilleux exemple: Comment Obtenir des Informations de signature Authenticode Exécutables

Cependant, nous vivons dans un monde géré 🙂 d'où la recherche de solution C# pour le même problème. Droites approche serait de pInvoke Crypt32.dll et tout est fait. Mais il y a une telle API managée dans System.Security.Cryptography.X509Certificates espace de Noms. X509Certificate2 Classe semble fournir certaines informations, mais pas de timestamp. Maintenant, nous sommes arrivés à la question de départ comment pouvons-nous obtenir que l'horodatage de la signature numérique en C Sharp?

  • La gestion de authenticode classes de laisser beaucoup de choses! Il est probablement plus facile de p/Invoke.
  • La première raison est que le code managé est plus photogénique. D'autre part, dans plusieurs articles MSDN il y a d'effrayant billets comme celui-ci Remarque La fonction WinVerifyTrust est disponible pour une utilisation dans les systèmes d'exploitation répertoriés dans la section des Exigences. Il peut être modifié ou non disponibles dans les versions ultérieures. Lorsque Windows Vista est le dernier système pris en charge. Bien sûr WinVerifyTrust et CryptQueryObject travailler sur Windows 7, mais avec toutes ces mises en garde, il semble logique d'utiliser une autre API. Il semble que les Certificats d'espace de noms est à moitié cuit, en effet. Drôle, mais cet avertissement n'est pas présent dans MSDN en ligne maintenant...
  • un .NET de Base de la solution à ce problème serait un joli bonus trop.
InformationsquelleAutor SlavaGu | 2010-07-19
  1. 6

    Merci les gars,

    Vous m'aider beaucoup 🙂

    BTW: j'ai trouvé plus simple de la manière d'obtenir l'horodatage.

    ici, il est:

    foreach (var signerInfo in signedCms.SignerInfos)
{
  foreach (var unsignedAttribute in signerInfo.UnsignedAttributes)
  {
    if (unsignedAttribute.Oid.Value == WinCrypt.szOID_RSA_counterSign)
    {
      foreach (var counterSignInfo in signerInfo.CounterSignerInfos)
      {
        foreach (var signedAttribute in counterSignInfo.SignedAttributes)
        {
          if (signedAttribute.Oid.Value == WinCrypt.szOID_RSA_signingTime)
          {
            Pkcs9SigningTime signingTime = (Pkcs9SigningTime)signedAttribute.Values[0];
            Console.Out.WriteLine("Signing Time UTC: " + signingTime.SigningTime);
          }
        }
      }
      return true;
    }
  }
}
    InformationsquelleAutor perky
  2. 4

    Grâce à l'OP pour votre travail. J'ai ajouté de la mise en œuvre pour obtenir le TimeStamp réelle de la cert.

    foreach (var signerInfo in signedCms.SignerInfos)
{
foreach (var unsignedAttribute in signerInfo.UnsignedAttributes)
{
if (unsignedAttribute.Oid.Value == WinCrypt.szOID_RSA_counterSign)
{
foreach (var counterSignInfo in signerInfo.CounterSignerInfos)
{
foreach (var signedAttribute in counterSignInfo.SignedAttributes)
{
if (signedAttribute.Oid.Value == WinCrypt.szOID_RSA_signingTime)
{                                        
System.Runtime.InteropServices.ComTypes.FILETIME fileTime = new System.Runtime.InteropServices.ComTypes.FILETIME();
int fileTimeSize = Marshal.SizeOf(fileTime);
IntPtr fileTimePtr = Marshal.AllocCoTaskMem(fileTimeSize);
Marshal.StructureToPtr(fileTime, fileTimePtr, true);
byte[] buffdata = new byte[fileTimeSize];
Marshal.Copy(fileTimePtr, buffdata, 0, fileTimeSize);
uint buffSize = (uint)buffdata.Length;
uint encoding = WinCrypt.X509_ASN_ENCODING | WinCrypt.PKCS_7_ASN_ENCODING;
UIntPtr rsaSigningTime = (UIntPtr)(uint)Marshal.StringToHGlobalAnsi(WinCrypt.szOID_RSA_signingTime);
byte[] pbData = signedAttribute.Values[0].RawData;                                         
uint ucbData = (uint)pbData.Length;
bool workie = WinCrypt.CryptDecodeObject(encoding, rsaSigningTime.ToUInt32(), pbData, ucbData, 0, buffdata, ref buffSize);
if (workie)
{
IntPtr fileTimePtr2 = Marshal.AllocCoTaskMem(buffdata.Length);
Marshal.Copy(buffdata, 0, fileTimePtr2, buffdata.Length);
System.Runtime.InteropServices.ComTypes.FILETIME fileTime2 = (System.Runtime.InteropServices.ComTypes.FILETIME)Marshal.PtrToStructure(fileTimePtr2, typeof(System.Runtime.InteropServices.ComTypes.FILETIME));
long hFT2 = (((long)fileTime2.dwHighDateTime) << 32) + ((uint)fileTime2.dwLowDateTime);
DateTime dte = DateTime.FromFileTime(hFT2);
Console.WriteLine(dte.ToString());
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error());                                            
}
}    
}
}                            
return true;
}
}
}
    InformationsquelleAutor BBMarlin
  3. 3

    Je voulais faire l'objet hors du certificat numérique, le son d'un OU de type chaîne de caractères comme

    • CN=Microsoft Corporation, OU=MOPR, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

    J'ai trouvé le X509Certificate pour être vraiment lent et charger tout le fichier en mémoire. J'ai essayé de lire un 800 mo fichier de patch et ma mémoire augmenté de 800 mo comme il le lire, et il a fallu plus de 30 secondes!!

    J'ai se tenait sur les épaules des affiches ci-dessus un réussi à bidouiller le code ci-dessus pour obtenir un objet X509Certificate2 des centaines de fois plus rapide que l'utilisation de la X509 Objet.

    Merci de lire mon blog pour plus de détails, avec des images de la performance des différences. X509Certificate objet c# de la performance et des problèmes de mémoire alternative – fixe

    Essayez ceci:

    public static X509Certificate2 GetDigitalCertificate(string filename)
{
X509Certificate2 cert = null;
int encodingType;
int contentType;
int formatType;
IntPtr certStore = IntPtr.Zero;
IntPtr cryptMsg = IntPtr.Zero;
IntPtr context = IntPtr.Zero;
if (!WinCrypt.CryptQueryObject(
WinCrypt.CERT_QUERY_OBJECT_FILE,
Marshal.StringToHGlobalUni(filename),
(WinCrypt.CERT_QUERY_CONTENT_FLAG_PKCS7_SIGNED
| WinCrypt.CERT_QUERY_CONTENT_FLAG_PKCS7_UNSIGNED
| WinCrypt.CERT_QUERY_CONTENT_FLAG_PKCS7_SIGNED_EMBED), //<-- These are the attributes that makes it fast!!
WinCrypt.CERT_QUERY_FORMAT_FLAG_ALL,
0,
out encodingType,
out contentType,
out formatType,
ref certStore,
ref cryptMsg,
ref context))
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
//Get size of the encoded message.
int cbData = 0;
if (!WinCrypt.CryptMsgGetParam(
cryptMsg,
WinCrypt.CMSG_ENCODED_MESSAGE,
0,
IntPtr.Zero,
ref cbData))
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
var vData = new byte[cbData];
//Get the encoded message.
if (!WinCrypt.CryptMsgGetParam(
cryptMsg,
WinCrypt.CMSG_ENCODED_MESSAGE,
0,
vData,
ref cbData))
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
var signedCms = new SignedCms();
signedCms.Decode(vData);
if (signedCms.SignerInfos.Count > 0)
{
var signerInfo = signedCms.SignerInfos[0];
if (signerInfo.Certificate != null)
{
cert = signerInfo.Certificate;
}
}
return cert;
}

    Il semble que si vous utilisez le "WinCrypt.CERT_QUERY_CONTENT_FLAG_ALL" sur le CryptQueryObject appel, il souffre de la même mémoire de performances comme le X509Certificate objet, mais si vous avez de la garniture à l'PKCS7 types de contenu, il se comporte comme un rêve et semble me donner les infos dont j'ai besoin.

    InformationsquelleAutor jcrawfor74
  4. 1

    Comme je vois que vous avez pas de réponses de toute façon, permettez-moi de vous offrir l'une.

    Si vous n'avez pas l'esprit à l'aide de composants tiers, jetez un oeil à TElAuthenticodeVerifier composante de notre SecureBlackbox produit. Avec ce composant, vous pouvez vérifier la signature et vérifier les horodateurs.

    • La classe a l'air sympa, merci. Ne VerifySignature vérifier la validité du certificat à l'encontre de liste de révocation de certificats en ligne? BTW, j'ai déjà mis en œuvre timestamp vérifier par pinvoking CryptQueryObject donc, je demande juste pour ma curiosité.
    • Salut SlavaGu, Pourriez-vous s'il vous plaît partagez votre solution avec moi? ou peut-être donner une idée comment je peux faire. J'ai également le même problème. Merci.
    InformationsquelleAutor Eugene Mayevski 'Allied Bits
  5. 0

    J'aime l'idée d'éviter certains méchants p/invoke code à l'aide de la SignedCms classe, mais sachez qu'en vertu de certaines conditions, le SignedCms constructeur peut bloquer pendant une longue période --- je vois environ 15 secondes sur un test, je suis actuellement en cours d'exécution. Alejandro Campos Magencio a des informations sur ce sujet sur son blog MSDN dans un post intitulé Gros retard tout en appelant EnvelopedCms constructeur.

    InformationsquelleAutor Dave Ruske