有没有办法使用纯 .NET Framework 生成 DSA 证书,如果没有,为什么?
Is there a way to generate a DSA certificate using pure .NET Framework and if not, why?
从 .NET 4.7.2 开始,可以使用 .NET CertificateRequest 生成 RSA 和 EC 证书。但是我找不到任何可以让我生成 DSA 证书的东西。以下是我为 RSA 和 EC 做的:
private static X509Certificate2 GenerateRsaCertificate()
{
var hashAlgorithm = HashAlgorithmName.SHA256;
var rsaKey = RSA.Create(2048);
var subject = new X500DistinguishedName("CN=mycert");
var request = new CertificateRequest(subject, rsaKey, hashAlgorithm, RSASignaturePadding.Pkcs1);
var certificate = request.CreateSelfSigned(DateTime.Now - TimeSpan.FromDays(5), DateTime.Now + TimeSpan.FromDays(365));
return certificate;
}
private static X509Certificate2 GenerateEcDsaCertificate()
{
var hashAlgorithm = HashAlgorithmName.SHA256;
var curve = ECCurve.NamedCurves.nistP256;
var ecDsaKey = ECDsa.Create(curve);
var subject = new X500DistinguishedName("CN=mycert");
var request = new CertificateRequest(subject, ecDsaKey, hashAlgorithm);
var certificate = request.CreateSelfSigned(DateTime.Now - TimeSpan.FromDays(5), DateTime.Now + TimeSpan.FromDays(365));
return certificate;
}
以前我使用 Bouncy Castle 来生成所有三种类型的证书,但是随着迁移到 .NET,我只能在 CertificateRequest 调用中使用 RSA 和 ECDsa。有什么理由不包括动态搜索广告吗?但是,我仍然可以使用 DSA.Create(keySize) 生成密钥。 .NET Framework 还包括与 DSA 一起使用的其他 类:DSA, DSACng, DSACryptoServiceProvider, DSACertificateExtensions,但我没有看到任何用于证书生成的内容。算法本身有什么问题吗(也许我根本不应该使用它)?或者我在 API 中遗漏了什么?
Are there any problems with the algorithm itself (maybe I shouldn't use it at all)?
非 EC DSA 即将消亡。
我推测真正做到这一点的是原始规范 (FIPS 186-1) 将密钥限制为 1024 位,将算法限制为 SHA-1。 2009 年,该算法在 FIPS 186-3 中得到更新,以支持稍大的密钥和 SHA-2 哈希。 FIPS 186-1(和FIPS 186-2)DSA签名只需要数据和一个私钥(验证只需要数据、签名和一个public密钥),FIPS 186-3签名也需要哈希算法作为一个输入...所以 API 不完全兼容。
Windows CAPI(两个 Windows 加密平台中较旧的一个)忽略了 FIPS 186-3 更新,Apple 的 Security.framework 也是如此。 Windows CNG 和 OpenSSL 都支持 "new DSA"。 Apple 无法处理使用 "new DSA" 签名的证书(我什至忘记了 "DSA classic"),并且 Windows 不支持证书链中的 "new DSA",仅 "DSA classic".
所以 DSA 证书通常仅限于 FIPS 186-1/186-2 限制,这意味着 SHA-1(现在对任何人都不利)和 1024 位密钥(以今天的计算来看太小了) .如果您知道自己正在接受 OpenSSL 验证,则可以使用更好的 DSA 密钥。
DSA 在签名验证方面通常也比 RSA 慢得多。
在 80 位安全级别,在我的随机 VM 上使用 OpenSSL 的速度工具(为演示目的对输出稍作修改,按 verify/s 降序排序):
sign verify sign/s verify/s
rsa 1024 bits 0.000301s 0.000018s 3326.3 56419.7
dsa 1024 bits 0.000309s 0.000236s 3236.2 4240.5
ecdsa 160 bits (secp160r1) 0.0005s 0.0004s 1984.6 2385.7
112 位安全
sign verify sign/s verify/s
rsa 2048 bits 0.002030s 0.000062s 492.6 16062.4
ecdsa 224 bits (nistp224) 0.0001s 0.0002s 9020.6 4252.2
dsa 2048 bits 0.000885s 0.000802s 1129.4 1247.3
128 位安全
sign verify sign/s verify/s
rsa 3072 bits 0.006935s 0.000135s 144.2 7401.6
ecdsa 256 bits (nistp256) 0.0001s 0.0002s 16901.5 5344.7
ecdsa 256 bits (brainpoolP256t1) 0.0010s 0.0008s 980.1 1262.5
ecdsa 256 bits (brainpoolP256r1) 0.0010s 0.0008s 1012.9 1209.5
dsa 3072 bits (not in test suite)
192 位安全
sign verify sign/s verify/s
rsa 7680 bits 0.122805s 0.000820s 8.1 1220.2
ecdsa 384 bits (nistp384) 0.0024s 0.0018s 416.1 571.2
ecdsa 384 bits (brainpoolP384t1) 0.0024s 0.0018s 410.0 545.1
ecdsa 384 bits (brainpoolP384r1) 0.0025s 0.0019s 407.4 540.1
dsa 7680 bits (beyond FIPS 186-3 DSA maximum of 3072 bits)
256 位安全
sign verify sign/s verify/s
ecdsa 521 bits (nistp521) 0.0006s 0.0012s 1563.1 841.3
ecdsa 512 bits (brainpoolP512t1) 0.0038s 0.0027s 265.2 369.1
ecdsa 512 bits (brainpoolP512r1) 0.0038s 0.0028s 262.4 360.5
rsa 15360 bits 0.783846s 0.003190s 1.3 313.5
dsa 15360 bits (beyond FIPS 186-3 DSA maximum of 3072 bits)
I'm able to use only RSA and ECDsa in CertificateRequest calls. Are there any reasons why DSA is not included?
来自 original feature proposal 的线程:
Based on new data from Windows (and their lack of support for FIPS 186-3 DSA certificates) I'm going to pull the DSA typed constructor and leave DSA as a "power user" scenario (custom X509SignatureGenerator class, etc)
所以,它被删除主要是因为 DSA 快要死了。
Or am I missing something in the API?
API 允许提供自定义签名生成器。在 CertificateRequest 的测试中,它用 DSAX509SignatureGenerator
证明了这一点
X509SignatureGenerator dsaGen = new DSAX509SignatureGenerator(dsaCsp);
// Use SHA-1 because that's all DSACryptoServiceProvider understands.
HashAlgorithmName hashAlgorithm = HashAlgorithmName.SHA1;
CertificateRequest request = new CertificateRequest(
new X500DistinguishedName($"CN={KeyName}-{provType}"),
dsaGen.PublicKey,
hashAlgorithm);
DateTimeOffset now = DateTimeOffset.UtcNow;
using (X509Certificate2 cert = request.Create(request.SubjectName, dsaGen, now, now.AddDays(1), new byte[1]))
using (X509Certificate2 certWithPrivateKey = cert.CopyWithPrivateKey(dsaCsp))
using (DSA dsa = certWithPrivateKey.GetDSAPrivateKey())
{
byte[] signature = dsa.SignData(Array.Empty<byte>(), hashAlgorithm);
Assert.True(dsaCsp.VerifyData(Array.Empty<byte>(), signature, hashAlgorithm));
}
从 .NET 4.7.2 开始,可以使用 .NET CertificateRequest 生成 RSA 和 EC 证书。但是我找不到任何可以让我生成 DSA 证书的东西。以下是我为 RSA 和 EC 做的:
private static X509Certificate2 GenerateRsaCertificate()
{
var hashAlgorithm = HashAlgorithmName.SHA256;
var rsaKey = RSA.Create(2048);
var subject = new X500DistinguishedName("CN=mycert");
var request = new CertificateRequest(subject, rsaKey, hashAlgorithm, RSASignaturePadding.Pkcs1);
var certificate = request.CreateSelfSigned(DateTime.Now - TimeSpan.FromDays(5), DateTime.Now + TimeSpan.FromDays(365));
return certificate;
}
private static X509Certificate2 GenerateEcDsaCertificate()
{
var hashAlgorithm = HashAlgorithmName.SHA256;
var curve = ECCurve.NamedCurves.nistP256;
var ecDsaKey = ECDsa.Create(curve);
var subject = new X500DistinguishedName("CN=mycert");
var request = new CertificateRequest(subject, ecDsaKey, hashAlgorithm);
var certificate = request.CreateSelfSigned(DateTime.Now - TimeSpan.FromDays(5), DateTime.Now + TimeSpan.FromDays(365));
return certificate;
}
以前我使用 Bouncy Castle 来生成所有三种类型的证书,但是随着迁移到 .NET,我只能在 CertificateRequest 调用中使用 RSA 和 ECDsa。有什么理由不包括动态搜索广告吗?但是,我仍然可以使用 DSA.Create(keySize) 生成密钥。 .NET Framework 还包括与 DSA 一起使用的其他 类:DSA, DSACng, DSACryptoServiceProvider, DSACertificateExtensions,但我没有看到任何用于证书生成的内容。算法本身有什么问题吗(也许我根本不应该使用它)?或者我在 API 中遗漏了什么?
Are there any problems with the algorithm itself (maybe I shouldn't use it at all)?
非 EC DSA 即将消亡。
我推测真正做到这一点的是原始规范 (FIPS 186-1) 将密钥限制为 1024 位,将算法限制为 SHA-1。 2009 年,该算法在 FIPS 186-3 中得到更新,以支持稍大的密钥和 SHA-2 哈希。 FIPS 186-1(和FIPS 186-2)DSA签名只需要数据和一个私钥(验证只需要数据、签名和一个public密钥),FIPS 186-3签名也需要哈希算法作为一个输入...所以 API 不完全兼容。
Windows CAPI(两个 Windows 加密平台中较旧的一个)忽略了 FIPS 186-3 更新,Apple 的 Security.framework 也是如此。 Windows CNG 和 OpenSSL 都支持 "new DSA"。 Apple 无法处理使用 "new DSA" 签名的证书(我什至忘记了 "DSA classic"),并且 Windows 不支持证书链中的 "new DSA",仅 "DSA classic".
所以 DSA 证书通常仅限于 FIPS 186-1/186-2 限制,这意味着 SHA-1(现在对任何人都不利)和 1024 位密钥(以今天的计算来看太小了) .如果您知道自己正在接受 OpenSSL 验证,则可以使用更好的 DSA 密钥。
DSA 在签名验证方面通常也比 RSA 慢得多。
在 80 位安全级别,在我的随机 VM 上使用 OpenSSL 的速度工具(为演示目的对输出稍作修改,按 verify/s 降序排序):
sign verify sign/s verify/s
rsa 1024 bits 0.000301s 0.000018s 3326.3 56419.7
dsa 1024 bits 0.000309s 0.000236s 3236.2 4240.5
ecdsa 160 bits (secp160r1) 0.0005s 0.0004s 1984.6 2385.7
112 位安全
sign verify sign/s verify/s
rsa 2048 bits 0.002030s 0.000062s 492.6 16062.4
ecdsa 224 bits (nistp224) 0.0001s 0.0002s 9020.6 4252.2
dsa 2048 bits 0.000885s 0.000802s 1129.4 1247.3
128 位安全
sign verify sign/s verify/s
rsa 3072 bits 0.006935s 0.000135s 144.2 7401.6
ecdsa 256 bits (nistp256) 0.0001s 0.0002s 16901.5 5344.7
ecdsa 256 bits (brainpoolP256t1) 0.0010s 0.0008s 980.1 1262.5
ecdsa 256 bits (brainpoolP256r1) 0.0010s 0.0008s 1012.9 1209.5
dsa 3072 bits (not in test suite)
192 位安全
sign verify sign/s verify/s
rsa 7680 bits 0.122805s 0.000820s 8.1 1220.2
ecdsa 384 bits (nistp384) 0.0024s 0.0018s 416.1 571.2
ecdsa 384 bits (brainpoolP384t1) 0.0024s 0.0018s 410.0 545.1
ecdsa 384 bits (brainpoolP384r1) 0.0025s 0.0019s 407.4 540.1
dsa 7680 bits (beyond FIPS 186-3 DSA maximum of 3072 bits)
256 位安全
sign verify sign/s verify/s
ecdsa 521 bits (nistp521) 0.0006s 0.0012s 1563.1 841.3
ecdsa 512 bits (brainpoolP512t1) 0.0038s 0.0027s 265.2 369.1
ecdsa 512 bits (brainpoolP512r1) 0.0038s 0.0028s 262.4 360.5
rsa 15360 bits 0.783846s 0.003190s 1.3 313.5
dsa 15360 bits (beyond FIPS 186-3 DSA maximum of 3072 bits)
I'm able to use only RSA and ECDsa in CertificateRequest calls. Are there any reasons why DSA is not included?
来自 original feature proposal 的线程:
Based on new data from Windows (and their lack of support for FIPS 186-3 DSA certificates) I'm going to pull the DSA typed constructor and leave DSA as a "power user" scenario (custom X509SignatureGenerator class, etc)
所以,它被删除主要是因为 DSA 快要死了。
Or am I missing something in the API?
API 允许提供自定义签名生成器。在 CertificateRequest 的测试中,它用 DSAX509SignatureGenerator
证明了这一点X509SignatureGenerator dsaGen = new DSAX509SignatureGenerator(dsaCsp);
// Use SHA-1 because that's all DSACryptoServiceProvider understands.
HashAlgorithmName hashAlgorithm = HashAlgorithmName.SHA1;
CertificateRequest request = new CertificateRequest(
new X500DistinguishedName($"CN={KeyName}-{provType}"),
dsaGen.PublicKey,
hashAlgorithm);
DateTimeOffset now = DateTimeOffset.UtcNow;
using (X509Certificate2 cert = request.Create(request.SubjectName, dsaGen, now, now.AddDays(1), new byte[1]))
using (X509Certificate2 certWithPrivateKey = cert.CopyWithPrivateKey(dsaCsp))
using (DSA dsa = certWithPrivateKey.GetDSAPrivateKey())
{
byte[] signature = dsa.SignData(Array.Empty<byte>(), hashAlgorithm);
Assert.True(dsaCsp.VerifyData(Array.Empty<byte>(), signature, hashAlgorithm));
}