6

我有以下问题,找不到解决方案:

在使用 APN(Apple 推送通知)API 时,我实现了令牌化授权。这是苹果在推送通知 API 上的新授权方式。

Apple 为我提供了私钥,我用它来创建 c# CngKey 对象,然后我用它来签署数据。

    CngKey key = CngKey.Import(
       Convert.FromBase64String(privateKey),
       CngKeyBlobFormat.Pkcs8PrivateBlob);

using (ECDsaCng dsa = new ECDsaCng(key))
{
    dsa.HashAlgorithm = CngAlgorithm.Sha256;
    var unsignedJwtData =
        Url.Base64urlEncode(Encoding.UTF8.GetBytes(header)) + "." + Url.Base64urlEncode(Encoding.UTF8.GetBytes(payload));
    var signature =
        dsa.SignData(Encoding.UTF8.GetBytes(unsignedJwtData));
    return unsignedJwtData + "." + Url.Base64urlEncode(signature);
}

结果是签名令牌,然后我在使用 API 和发送推送通知时将其用作授权标头。

它在我的开发机器上运行良好,但是当我将它部署到 Windows Server 时,当此代码运行时,我得到下一个:

System.ArgumentException: Keys used with the ECDsaCng algorithm must have an algorithm group of ECDsa.
Parameter name: key
   at System.Security.Cryptography.ECDsaCng..ctor(CngKey key)
   at OTTCommon.Encryption.ECDSA.SignES256(String privateKey, String header, String payload, ILog log)

我找不到解决方案,它是 Windows 密钥存储或类似的东西....

我应该怎么办?

4

1 回答 1

7

这在 .NET Framework 4.6.2 中已修复,因此最简单的解决方案可能是升级服务器。

适用于 NIST P-256、NIST P-384 和 NIST P-521 的解决方法是更改​​ blob 导出中的 dwMagic 值。(它不适用于 Windows 10 通用 ECC,因为 dwMagic 值的对齐方式不同)。

byte[] blob = key.Export(CngKeyBlobFormat.EccPrivateBlob);
key.Dispose();

此 blob 的前 4 个字节映射到BCRYPT_ECCKEY_BLOB结构dwMagic中的值。

BCRYPT_ECDH_PRIVATE_P256_MAGIC具有 value 0x324B4345,它是“ECK2”(椭圆曲线密钥交换 2)的 Little-Endian 表示。 BCRYPT_ECDSA_PRIVATE_P256_MAGIC具有 value 0x32534345,它是“ECS2”(椭圆曲线签名 2)的 Little-Endian 表示。

// Change it from Key-exchange (ECDH) to Signing (ECDSA)
blob[1] = 0x53;

key = CngKey.Import(blob, CngKeyBlobFormat.EccPrivateBlob);

现在它看到它是一个 ECDSA 密钥,并且一切都很顺利。

于 2017-05-15T14:56:41.583 回答