生成签名的PKCS#7，而不访问PK

Question

我有一张智能卡，它存储我的私钥并执行有限的加密操作，我需要生成一个PKCS#7签名文件。智能卡附带的库不支持PKCS#7，但我可以使用它生成签名。

考虑到明文有效负载、证书和签名(不是私钥)，我是否可以使用成熟的开放源代码库(如openssl )来构建内容？

我知道我可以调用openssl中的各种函数一次执行所有操作(包括签名)，但这需要访问私钥，而我的代码无法提取私钥。

Answer 1

是的，System.Security.Cryptography.Pkcs包提供了一个抽象，允许在硬件设备上计算签名。

 public byte[] Sign(byte[] data, X509Certificate2 cert)
 {
     ContentInfo contentInfo = new ContentInfo(_sha256.ComputeHash(data));
     SignedCms signedCms = new SignedCms(contentInfo);
     CmsSigner cmsSigner = new CmsSigner(cert);
     cmsSigner.IncludeOption = X509IncludeOption.WholeChain;
     signedCms.ComputeSignature(cmsSigner);
     return signedCms.Encode();
 }

https://learn.microsoft.com/en-us/dotnet/api/system.security.cryptography.pkcs.pkcs9messagedigest?view=dotnet-plat-ext-7.0

Answer 2

您可以通过创建一个OpenSSL引擎来完成此任务，该引擎将在需要私钥操作时与卡进行通信。