問題タブ [capicom]

現在、CAPICOMは非推奨であり、MSDNはSystem.Security.Cryptographyの.netクラスを使用することをお勧めします。しかし、LotusScriptコード（VisualBasicと非常によく似ています）のCAPICOMを使用してユーザーに証明書を表示し、証明書情報（SubjectフィールドとValidToDateフィールド）を取得するLotusNotesアプリケーションが1つあります。

CAPICOM機能を.netまたはその他の代替手段に置き換えるにはどうすればよいですか？

新しいページが ASP.NET で、従来のページが Classic ASP である Web サイトに取り組んでいます。Windows 環境での開発は初めてで、.NET などの最新のテクノロジを研究しており、COM オブジェクトに関する従来の問題が発生すると、ヘッドライトの鹿のようになります。

Web サイトのセキュリティは忌まわしいものですが、http: //www.4guysfromrolla.com/articles/021506-1.aspx に従って、DPAPI マシン モードに基づいて web.config ファイルの connectionStrings を簡単に暗号化しました。このアプローチが最も安全ではないことは理解していますが、ASP.NET ページの場合と同様に、何もないよりはましです。ここで、従来の ASP ページで使用される接続文字列に対して同様の暗号化を行う方法について質問します。

複雑な要因は、Web サイトがホストされている場所で、管理者権限やコマンド ライン アクセスさえも持っておらず、FTP だけであるということです。また、鍵の管理は避けたい。

私の調査では、次のことがわかりました。

1. COM 相互運用機能を備えた DPAPI。これはすでに利用可能になっているようですが、これについて議論しているのは、ホスティング サーバーにインストールされていないCyptoUtility ( http://msdn.microsoft.com/en-us/magazine/cc163884.aspxを参照) だけです。

2. Dalun Software http://www.dalun.comの Crypto など、他にもサードパーティの COM オブジェクトがたくさんありますが、これらはホストされたサーバーにもありません。管理。

3. ホストされたサーバーには CAPICOM がありますが、M$ は廃止されており、多くの人が最も使いにくいと報告しています。ASP.NET に DPAPI を使用する場合と同様に、CAPICOM でキー管理を回避できるかどうかは明確ではありません。誰かがたまたま知っているなら、私に手がかりを与えてください。

4. ASP.NET で Web サービスを記述し、従来の ASP ページでそれを使用して復号化された接続文字列を取得し、それらをアプリケーション変数に格納することができます。localhost を使用でき、インターネット経由で何も送信されないため、SSL を使用する必要はありません。最も単純な形式で、単純な XML ストリームに基づいて、誰かが貧乏人のバージョンと呼んだものを実装することができました。 ASP.NET 用。

いくつかのオプションが不足している可能性があります...推奨事項が要求されています...

CAPICOM を使用できなくなったため、使用をやめようとしています (64 ビット Windows 7 マシン)。

TripleDES を使用するための既存のコードは次のようになります。

暗号化のために提供される唯一の情報は、secretKey です。そして、secretKey は約 10 バイトであることがわかります。.NET クラスを使用して同じ暗号化を行う方法はありますか。注: これは、引き続き CAPICOM を使用する Web サービスへの接続を確認するために使用されます。どんな助けやアイデアも大歓迎です。

過去 2 か月間、成功していませんでしたが、ここで質問する時が来たと思います。

私はスマート カードを持っていて、クライアントから CSPを受け取りました。実行できる (および実行方法を知っている) APDU コマンドを説明するドキュメントがあります。

名前、住所、写真などの小さなファイル (データ) をカードに保存する必要があります。後で証明書を保存します。

ドキュメントでは、後で安全なメッセージングを使用してカード上のファイルにアクセスするには、外部認証を行う必要があることを読みました。相互認証アルゴリズムのどこかにエラーがあります (MAC、DES、TRIPPLE DES などを計算する必要があり、それを機能させるために何週間も試みました...) 相互認証を必要とする機能を除いて、カードですべてを行う方法を知っています認証。

CSP が提供する機能を調べたところ、外部認証が見当たりません。非 APDU レベルの外部認証を見た唯一の場所は、CardAuthenticateEx のような関数が表示される「Windows スマート カード ミニドライバー仕様」でした。しかし、それらを呼び出す方法がわかりません（どのdllにあるのか）。これらの関数を CSP に含める必要がありますか?

私がCSPを持っているときにAPDUコマンドで低レベルになるのは間違ったアプローチですか? 代わりに CryptoAPI または CAPICOM を使用する必要がありますか? もしそうなら、ファイルに書き込む関数がない（または見つからない）場合、外部認証してファイルを使用するにはどうすればよいですか。(繰り返しますが、これらの機能はすべて「Windows スマート カード ミニドライバー仕様」にあります。

当社は、SHA-1証明書からSHA-2証明書への切り替えを行っています。

CAPICOMにはCAPICOM_CERTIFICATE_FIND_SHA1_HASHfindメソッドしかないことに気づきました。

SHA-1からSHA-2に切り替えるということは、これらの証明書を使用して検証/暗号化/復号化するために、CAPICOMの代替に切り替える必要があることを意味しますか？

私が読んだことによると、CAPICOM は署名者の証明書を含まない PKCS#7 の検証をサポートしていないようですが、一方、PKCS#7 は署名者の証明書なしで来ることができます!

つまり、CAPICOM API では、署名者の証明書/公開鍵を明示的に指定することはできないようです。

CAPICOM で使用できる PKCS#7-with-signer-certificate を取得するために、署名者の証明書を PKCS#7-without-signer-certificate に「注入」する可能な/簡単な方法を探していますか?

これは、CAPICOMを使用したVB6アプリのコードです。

しかし、同じ機能をVB.NETに変換する必要があります。同じ値を取得するのと同等のものはありますか？

証明書を使用して文字列に署名する Java アプリケーションがあります。文字列をSHA1で暗号化して動作します。コードを Delphi 2010 に変換しようとしていますが、Java アプリと同じように (sha1 を使用して) 動作させる方法がわかりません。これまでのところ、私はこれを見つけました：

Delphi 7 アクセス Windows X509 証明書ストア

動作しますが、sha1 を使用せず、Java アプリを実行すると異なる結果が得られます。

Java コード

Delphi コード

編集

Javaコードに基づいて、証明書情報をバイナリ形式で取得し、sha1を適用して16進数に変換する必要がありますか? これは正しい順序であり、Java コードと同じことですか? capicom tlb とハッシュ クラスにいくつかの SHA1 定数が表示されます。これらのクラスを使用する必要があるかもしれませんが、方法がわかりません。

私は capicom.dll を認識していますCryptUnprotectDataが、そのインターフェイスには表示されません。

capicom.dll でCryptUnprotectDataサポートされていますか?

そうでない場合、vbscript または従来の ASP Web ページからこの関数にアクセスする方法はありますか?

C# で CryptoAPI を使用して証明書ストアにアクセスし、メッセージに署名したいと考えています。

この MSDN の記事「CAPICOM: CryptoAPI Made Easy」では、CAPICOM または P/Invoke を使用する 2 つの方法が示されています。

1. どれが最高ですか？CAPICOM.dll または P/Invoke[DllImport("crypt32.dll", ...)]

2. 「crypt32.dll」はどのマシンにも常に存在しますか?