是的,你是对的,在目前的CMS RFC它说,有关该消息的摘要属性,它
一个个SignerInfo 的SignedAttributes必须包含只有一个消息摘要属性的实例。 类似地,AuthenticatedData中的AuthAttributes只能包含 message-digest属性的一个实例。
因此,使用标准签名属性提供多个消息摘要值的唯一方法是提供几个signedInfos。
是的,任何安全系统都与其最薄弱的环节一样强大,因此从理论上说,如果您仍然接受SHA-1,您就不会通过添加带有SHA-256的SignedInfo获得任何东西 - 正如您所说的那样,总是被剥夺。
您的具有自定义属性的方案有点难以打破 - 但仍然存在可被攻击的SHA-1哈希值。它不再像剥离属性那样简单 - 因为它被签名覆盖。但是:
还有摘要算法用于消解作为最终签名值基础的签名属性。你打算在那里使用什么? SHA-256或SHA-1?如果是SHA-1,那么你将会和以前一样:
如果我可以产生SHA-1的冲突,那么我会剥离你的自定义SHA-256属性,并伪造SHA-1属性这样签名的最终SHA-1摘要再次叠加起来。这表明,如果签名摘要算法也是SHA-256,那么只有安全性有所增加,但我猜这是不可取的,因为你想保持向后兼容。
我在你的情况下建议的是始终使用SHA-1,但将符合RFC 3161的时间戳作为无符号属性应用于签名。这些时间戳实际上是他们自己的签名。好处是您可以在那里使用SHA-256作为邮件印记,并且时间戳服务器通常使用您提供的相同摘要算法来应用其签名。然后拒绝任何不包含此类时间戳或仅包含消息压印/签名摘要算法弱于SHA-256的时间戳的签名。
这个解决方案有什么好处?您的遗留应用程序应该检查是否存在未签名的时间戳记属性,并且是否使用了强大的摘要,但是否则忽略它们并继续按照之前的相同方式验证签名。另一方面,新应用程序将验证签名,但也会验证时间戳。由于时间戳签名“覆盖”了签名值,因此攻击者不再伪造签名。尽管签名使用SHA-1作为摘要值,但攻击者必须能够打破时间戳的更强的摘要。
时间戳的额外好处是您可以将生产日期与签名关联起来 - 您可以安全地声明签名是在时间戳之前生成的。所以,即使签名证书被撤销,在时间戳的帮助下,您仍然可以根据证书被吊销的时间,精确决定是否拒绝或接受签名。如果证书在时间戳后被撤销,那么您可以接受签名(添加安全边界(又称“宽限期”) - 在信息发布之前需要一段时间),如果在时间戳之前被撤销那么你想拒绝签名。
时间戳的最后一个好处是,如果某些算法变弱,您可以随时更新它们。例如,您可以使用最新的算法每5-10年应用一次新的时间戳,并使新的时间戳涵盖所有较旧的签名(包括较旧的时间戳)。这种方式弱算法,然后由较新的,更强大的时间戳签名覆盖。看看CAdES(也存在RFC,但现在已经过时了),它基于CMS并尝试应用这些策略来为CMS签名提供长期归档。
事实上,使用每个signerInfos签名算法对认证的属性进行身份验证是不是?如果是这样,我认为你还是在同一条船上。 –
好点。我认为已认证的属性本身可以包含一个使用SHA256作为其消息摘要算法的SignedData元素,其ContentInfo包含原始内容的SHA256摘要。但是你仍然使用保护整个bundle的弱散列算法。 – John
我已经能够得到一个时间戳,但我不知道如何将其嵌入到现有的签名。 目前我正在做这个: http://stackoverflow.com/questions/38618108/s-mime-timestamp-support/38631998#38631998 – Michael