Как преобразовать данные подписи в кодировке ECDSA DER в формат, поддерживаемый Microsoft CNG?

Ваш ввод — это формат подписи X9.62, который представляет собой ПОСЛЕДОВАТЕЛЬНОСТЬ, содержащую две подписи в кодировке ASN.1 / DER. Эти целые числа имеют переменные размеры, числа со знаком, большие порядковые номера. Они закодированы в минимальном количестве байтов. Это означает, что размер кодировки может варьироваться.

139 байтов являются общими, поскольку они предполагают максимальный размер кодирования для r а также s, Эти значения рассчитываются с использованием модульная арифметические и, следовательно, они могут содержать любое количество битов, вплоть до количества битов порядка n, что соответствует размеру ключа, 521 бит.

132 байта определены стандартом ISO / IEC 7816-8 / IEEE P1363, который является стандартом, касающимся подписей для смарт-карт. Подпись состоит из объединения r а также s, где r а также s кодируются как минимальное количество байтов для отображения значения того же размера, что и порядок, в байтах. r а также s статические по размеру, без знака, большие порядковые номера.

Расчет количества байтов r или же s является ceil((double) n / 8) или же (n + 8 - 1) / 8 где 8 — количество бит в байте. Таким образом, если эллиптическая кривая составляет 521 бит, то результирующий размер составляет 66 байтов, и вместе они, следовательно, потребляют 132 байта.

Теперь перейдем к расшифровке. Есть несколько способов справиться с этим: выполнить полный анализ ASN.1, получить целые числа и затем снова закодировать их в форме ISO 7816-8 — наиболее логичный.

Тем не менее, вы также можете увидеть, что вы можете просто скопировать байты как r а также s всегда будет неотрицательным (и, следовательно, без знака) и прямым порядком байтов. Так что вам просто нужно компенсировать размер. В противном случае единственная сложная часть — это возможность декодировать длину компонентов в структуре X9.62.

Предупреждение: код на C # вместо C ++, как я и ожидал, основной язык .NET; Язык не указан в вопросе, когда я написал основную часть ответа.

class ConvertECDSASignature
{
private static int BYTE_SIZE_BITS = 8;
private static byte ASN1_SEQUENCE = 0x30;
private static byte ASN1_INTEGER = 0x02;

public static byte[] lightweightConvertSignatureFromX9_62ToISO7816_8(int orderInBits, byte[] x9_62)
{
int offset = 0;
if (x9_62[offset++] != ASN1_SEQUENCE)
{
throw new IllegalSignatureFormatException("Input is not a SEQUENCE");
}

int sequenceSize = parseLength(x9_62, offset, out offset);
int sequenceValueOffset = offset;

int nBytes = (orderInBits + BYTE_SIZE_BITS - 1) / BYTE_SIZE_BITS;
byte[] iso7816_8 = new byte[2 * nBytes];

// retrieve and copy r

if (x9_62[offset++] != ASN1_INTEGER)
{
throw new IllegalSignatureFormatException("Input is not an INTEGER");
}

int rSize = parseLength(x9_62, offset, out offset);
copyToStatic(x9_62, offset, rSize, iso7816_8, 0, nBytes);

offset += rSize;

// --- retrieve and copy s

if (x9_62[offset++] != ASN1_INTEGER)
{
throw new IllegalSignatureFormatException("Input is not an INTEGER");
}

int sSize = parseLength(x9_62, offset, out offset);
copyToStatic(x9_62, offset, sSize, iso7816_8, nBytes, nBytes);

offset += sSize;

if (offset != sequenceValueOffset + sequenceSize)
{
throw new IllegalSignatureFormatException("SEQUENCE is either too small or too large for the encoding of r and s");
}

return iso7816_8;
}

/**
* Copies an variable sized, signed, big endian number to an array as static sized, unsigned, big endian number.
* Assumes that the iso7816_8 buffer is zeroized from the iso7816_8Offset for nBytes.
*/
private static void copyToStatic(byte[] sint, int sintOffset, int sintSize, byte[] iso7816_8, int iso7816_8Offset, int nBytes)
{
// if the integer starts with zero, then skip it
if (sint[sintOffset] == 0x00)
{
sintOffset++;
sintSize--;
}

// after skipping the zero byte then the integer must fit
if (sintSize > nBytes)
{
throw new IllegalSignatureFormatException("Number format of r or s too large");
}

// copy it into the right place
Array.Copy(sint, sintOffset, iso7816_8, iso7816_8Offset + nBytes - sintSize, sintSize);
}

/*
* Standalone BER decoding of length value, up to 2^31 -1.
*/
private static int parseLength(byte[] input, int startOffset, out int offset)
{
offset = startOffset;
byte l1 = input[offset++];
// --- return value of single byte length encoding
if (l1 < 0x80)
{
return l1;
}

// otherwise the first byte of the length specifies the number of encoding bytes that follows
int end = offset + l1 & 0x7F;

uint result = 0;

// --- skip leftmost zero bytes (for BER)
while (offset < end)
{
if (input[offset] != 0x00)
{
break;
}
offset++;
}

// --- test against maximum value
if (end - offset > sizeof(uint))
{
throw new IllegalSignatureFormatException("Length of TLV is too large");
}

// --- parse multi byte length encoding
while (offset < end)
{
result = (result << BYTE_SIZE_BITS) ^ input[offset++];
}

// --- make sure that the uint isn't larger than an int can handle
if (result > Int32.MaxValue)
{
throw new IllegalSignatureFormatException("Length of TLV is too large");
}

// --- return multi byte length encoding
return (int) result;
}
}

Обратите внимание, что код является несколько разрешающим в том, что он не требует минимальный кодирование длины для кодирования длины SEQUENCE и INTEGER (что и должно быть).

Это также позволяет неправильно кодировать значения INTEGER, которые излишне дополняются левым нулем.

Ни одна из этих проблем не должна нарушать безопасность алгоритма, но другие библиотеки могут и должны быть менее разрешительными.