Как сделать цифровую подпись в веб-приложении (JavaScript) с помощью смарт-карты?

мы написали систему управления документами и хотели бы подписывать документы с помощью веб-клиента. Наше клиентское приложение Java уже может применять и проверять цифровую подпись, но мы хотели бы сделать подпись даже с нашим веб-клиентом. Это написано в GWT, и поэтому при запуске на стороне клиента это приложение JavaScript.

мы не хотим создавать апплет Java и загружать его на клиент и выполнять его. Мы хотели бы использовать безопасность браузера устройство или API браузера для подписания документа. Мы также хотели бы сохранить полную сторону сервера документов и переместить на клиент только хэш документа.

мы считаем, что это должно быть возможным с помощью NSS или npapi / npruntime, но мы не нашли никакой информации об этом. (Кстати, доступно ли npruntime также в IE? Должны ли мы использовать ActiveX для достижения того же результата с IE?)

У вас есть какие-то намеки?

5 ответов


после еще нескольких поисков я нашел ответ. Mozilla экспортирует часть своего модуля NSS через


в настоящее время (май 2016) невозможно.

Chrome отказался от поддержки Java. "Windows edge" не будет иметь. Поддержка IE11 плохая, и Oracle решила прекратить работу плагина java. Это было бы возможно только с Firefox, более старыми версиями IE и плагином Java.

новый стандарт WebCryptographyApi обеспечивает поддержку цифровой подписи для браузеров, но не имеет поддержки pcks#11

реальное решение e-правительства для решения этой проблемы: 1) установить локальное приложение Java на ПК пользователя. Приложение прослушивает порт, например 5678 2) на Вашей странице javascript определяет, есть ли поддержка апплетов 3) Если нет поддержки, подключается к приложению в форме http://127.0.01:5678/sign и отправляет данные для входа. 4) приложение является локальным и не имеет проблем с использованием хранилища ключей операционной системы, в которое входят драйверы PKCS # 11. Сделайте цифровую подпись и подготовьте результат 5) Страница javascript периодически запрашивайте результат и извлекайте его, когда будете готовы


один проект, в котором я участвовал, сделал это с Chrome и Native Messaging:

https://github.com/CACBridge/ChromeCAC

для этого требуется установка плагина chrome, но в остальном работает отлично. Идеально подходит для, например, интрасети / групповых сред, где вы знаете, что вам нужно будет сделать это раньше времени.


в Win / IE вы все еще можете использовать CAPICOM http://en.wikipedia.org/wiki/CAPICOM без каких-либо сторонних ActiveX или внешних библиотек.
это работает везде, где установлен IE.
это в настоящее время на пенсии, однако.

ниже то, что я использую для входа в IE. Я называю это с e.g:var signature = signDigest(stringToBeSigned);

function signDigest(text) {
if (window.event)
    window.event.cancelBubble = true;

var dest = sign(text); //TODO  

return dest;
}

// CAPICOM constants  

var CAPICOM_STORE_OPEN_READ_ONLY = 0;
var CAPICOM_CURRENT_USER_STORE = 2;
var CAPICOM_CERTIFICATE_FIND_SHA1_HASH = 0;
var CAPICOM_CERTIFICATE_FIND_EXTENDED_PROPERTY = 6;
var CAPICOM_CERTIFICATE_FIND_TIME_VALID = 9;
var CAPICOM_CERTIFICATE_FIND_KEY_USAGE = 12;
var CAPICOM_DIGITAL_SIGNATURE_KEY_USAGE = 0x00000080;
var CAPICOM_AUTHENTICATED_ATTRIBUTE_SIGNING_TIME = 0;
var CAPICOM_INFO_SUBJECT_SIMPLE_NAME = 0;
var CAPICOM_ENCODE_BASE64 = 0;
var CAPICOM_E_CANCELLED = -2138568446;
var CERT_KEY_SPEC_PROP_ID = 6;

function IsCAPICOMInstalled() {
    if (typeof (oCAPICOM) == "object") {
        if ((oCAPICOM.object != null)) {
            // We found CAPICOM!  
            return true;
        }
    }
}

function FindCertificateByHash() {

    try {
        // instantiate the CAPICOM objects  
        var MyStore = new ActiveXObject("CAPICOM.Store");
        // open the current users personal certificate store  
        MyStore.Open(CAPICOM_CURRENT_USER_STORE, "My", CAPICOM_STORE_OPEN_READ_ONLY);

        // find all of the certificates that have the specified hash  
        var FilteredCertificates = MyStore.Certificates.Find(CAPICOM_CERTIFICATE_FIND_SHA1_HASH, strUserCertigicateThumbprint);

        var Signer = new ActiveXObject("CAPICOM.Signer");
        Signer.Certificate = FilteredCertificates.Item(1);
        return Signer;

        // Clean Up  
        MyStore = null;
        FilteredCertificates = null;
    }
    catch (e) {
        if (e.number != CAPICOM_E_CANCELLED) {
            return new ActiveXObject("CAPICOM.Signer");
        }
    }
}

function sign(src) {
    if (window.crypto && window.crypto.signText)
        return sign_NS(src);
    else

        return sign_IE(src);
}

function sign_NS(src) {
    var s = crypto.signText(src, "ask");
    return s;
}

function sign_IE(src) {
    try {
        // instantiate the CAPICOM objects  
        var SignedData = new ActiveXObject("CAPICOM.SignedData");
        var TimeAttribute = new ActiveXObject("CAPICOM.Attribute");

        // Set the data that we want to sign  
        SignedData.Content = src;
        var Signer = FindCertificateByHash();


        // Set the time in which we are applying the signature  
        var Today = new Date();
        TimeAttribute.Name = CAPICOM_AUTHENTICATED_ATTRIBUTE_SIGNING_TIME;
        TimeAttribute.Value = Today.getVarDate();
        Today = null;
        Signer.AuthenticatedAttributes.Add(TimeAttribute);

        // Do the Sign operation  
        var szSignature = SignedData.Sign(Signer, true, CAPICOM_ENCODE_BASE64);
        return szSignature;
    }
    catch (e) {
        if (e.number != CAPICOM_E_CANCELLED) {
            alert("An error occurred when attempting to sign the content, the error was: " + e.description);
        }
    }
    return "";
}  

у меня были некоторые проблемы с кодировкой и т. д., Поэтому я включил свой контроллер (.net), а также

        byte[] decbuff = Convert.FromBase64String(signature);


    //CAPICOM USES 16 BIT ENCODING
    Encoding utf16Enc = Encoding.GetEncoding("UTF-16LE");


    byte[] utf16Data = utf16Enc.GetBytes(getContent);


    ContentInfo content = new ContentInfo(utf16Data);

    System.Security.Cryptography.Pkcs.SignedCms cms = new System.Security.Cryptography.Pkcs.SignedCms(content,true);
    cms.Decode(decbuff);

    int length = decbuff.Length;         

    X509Certificate2 cert = cms.SignerInfos[0].Certificate;


    X509Chain chain = new X509Chain();
    bool theVal = chain.Build(cert);
    cms.CheckHash();       
    cms.CheckSignature(false);

теперь вы можете это сделать. Веб-приложение на основе смарт-карт PKCS#11 или токенов может быть реализовано с помощью Silverlight версии NCryptoki. См.http://www.ncryptoki.com

У вас есть два chanches:

1) используя версию Silverlight NCryptoki и разработайте свой собственный пользовательский элемент управления Silverlight, который реализует вашу логику, цифровую подпись в вашем случае, используя функции PKCS#11, поставляемые смарт-картой

2) Использование JQuery плагин основан на вышеуказанной версии Silverlight и реализует ваше приложение на JavaScript, вызывая функции PKCS#11 в JavaScript

кроме того, вы можете использовать версию Ndigitsign Silverlight (см. Снова http://www.ncryptoki.com), который делает все, что вам нужно, и может быть реализован в любом веб-браузере.