当您尝试使用 PIV 卡的私钥和全局密码进行签名时，RSACryptoServiceProvider 是不是有效？

Posted 2023-02-22

【中文标题】当您尝试使用 PIV 卡的私钥和全局密码进行签名时，RSACryptoServiceProvider 是不是有效？

【英文标题】：Does RSACryptoServiceProvider work when you try to sign using PIV card's private key and a global pin?当您尝试使用 PIV 卡的私钥和全局密码进行签名时，RSACryptoServiceProvider 是否有效？

【发布时间】：2020-04-17 15:26:33

【问题描述】：

我正在尝试将 RSACryptoServiceProvider 与指向全局引脚的 CspParameters 一起使用。 如果我使用应用程序引脚，它可以正常工作，但是当我使用全局引脚时，它会失败： “由于输入的 PIN 码错误，无法访问该卡。”

当我使用全局 pin 时它会起作用吗？是否有一个选项告诉它要寻找什么类型的引脚？

提前致谢。

更新：

我正在从智能卡中检索发现对象（如果存在）。 这将告诉我两件我想知道的事情。

1)。如果卡同时具有应用和全局引脚。 （引脚使用的第一个字节> = 60）

2)。哪个引脚被认为是主要的。 （第二个字节 0x10 = 应用程序，0x20 = 全局）

我有一张卡 NIST Test Pivcard 3，它有两个引脚，但全局引脚是主要的。对于这张卡，当我在我的测试表上输入全局密码时，我可以对其进行验证，它会正确验证密码。 (CLA=0x00, INS=0x20, P1=0x00, P2=0x00, Lc=0x8)

如果我输入应用程序密码（P2 设置为 0x80）并正确验证，我可以对这张卡执行相同的操作。

在我验证密码、设置 AID 并从卡中获取一些其他 x509 数据后，我尝试使用卡的私钥对一些散列数据进行签名。

使用 RSACryptoServiceProvider 和 CspParameters 时，只要我将全局引脚传递给它，它就会失败。我收到“无法访问该卡，因为提供了错误的 PIN。”

如果我向它传递一个有效的应用程序 pin，那么它就可以正常工作。

我的代码如下所示：

try

SecureString ss = new SecureString();
char[] PINs = PIN.ToCharArray();
foreach (char a in PINs)

    ss.AppendChar(a);

CspParameters csp = new CspParameters(1, "Microsoft Base Smart Card Crypto Provider");
csp.Flags = CspProviderFlags.UseDefaultKeyContainer;
csp.KeyPassword = ss;
RSACryptoServiceProvider rsa = new RSACryptoServiceProvider(csp);
byte[] data = File.ReadAllBytes(hashFile);
sig = rsa.SignHash(data, "SHA1");
bool verified = rsa.VerifyHash(data, CryptoConfig.MapNameToOID("SHA1"), sig);

catch (Exception ex)

  txt_msg.Text = ex.Message;
  etc...

这里是否缺少一些标志来说明正在使用的引脚是全局引脚？还是我们不允许使用全局引脚？还是我在这里错过了其他东西？这是我第一次尝试使用 RSACryptoServiceProvider，我可能缺少一些基础知识。

任何建议将不胜感激。

【问题讨论】：

您必须先写一个新的 PIN 才能使用新的密码打开。那么你保存了 PIN 码吗？

我只是想使用卡的私钥和现有的密码来签署一些散列数据。我不是要创建一个新的 PIN 码。当我执行 RSACryptoServiceProvider 命令时，它失败并出现错误。即CspParameters csp = new CspParameters(1, "Microsoft Base Smart Card Crypto Provider"); csp.Flags = CspProviderFlags.UseDefaultKeyContainer; csp.KeyPassword = ss; RSACryptoServiceProvider rsa = new RSACryptoServiceProvider(csp);

【参考方案1】：

您似乎假设 PIN 在某种意义上是可交换的，全局 PIN 是特定应用程序的合适替代品。这不是真的。

虽然可以通过这种方式设置卡（接受全局 PIN，例如 #1 OR 应用程序特定 PIN #2），但您的卡显然不是。如果卡不提供选择，服务提供商就无法成功。即使服务提供商使用了您想要的 PIN 并且比对成功，该卡也不会允许使用私钥。

不，您无法根据自己的喜好更改签名所需的 PIN 的 ID，因为攻击者也可以使用此路径。

（所有这些答案都假设您不允许修改卡片内容，例如您是普通持卡人。）

【讨论】：

嗨吉多。感谢回复。如果您熟悉他们的卡，我正在使用 NIST 测试卡#3。它有一个发现对象，表明它允许两种引脚类型（全局引脚和应用程序引脚）。它还指定全局 PIN 是主 PIN。当我使用 pkcs15-crypt 使用此卡对数据进行签名时，它可以使用任一 PIN。但是当我使用 RSACryptoServiceProvider 并使用全局 PIN 时，它会失败。应用程序 PIN 可以工作。在我看来，如果全局 PIN 是主要的，那么我应该能够使用它进行签名。但也许我错过了什么。

我更新了帖子以试图澄清事情。