DigestInfo nėra ĮSA naudojant parašo algoritmas SHA-1

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus ir po to bendruomenės suredaguotus straipsnius, taip pat žmogaus išverstus straipsnius siekdama suteikti prieigą prie visų savo žinių bazės straipsnių daugeliu kalbų. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, patirtą dėl neteisingo turinio vertimo arba mūsų klientų naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 3080171
Požymiai
Kai naudojate certutil.exe įrankį ir patikrinkite, ar sertifikato pasirašymo užklausos (konkrečiai), certutil.exe grąžina šį pranešimą, nors konkrečiai yra onlya pasirašytas maišos vertė (be DigestInfo ASN.1 struktūros):
Parašo atitinka viešasis raktas

Pastabos
  • Certutil.exe turi patikrinti skirtas tik pasirašyta maišos reikšmę, nes turėtų DigestInfo ASN.1 struktūros yra daugiau nei tik maišos duomenys.
  • Kiti įrankiai, pvz., openssl, pažymėti kaip netinkamas konkrečiai.
Ši problema kyla, kai SHA-1 naudojamą parašo algoritmą, pavyzdžiui, "1.2.840.113549.1.1.5 sha1RSA."

Kai ĮSA yra pasirašytas naudojant SHA-2, kaip "1.2.840.113549.1.1.11 sha256RSA," certutil.exe pateikia klaidos turėtų:

0XC000A000 (NT: 0XC000A000 STATUS_INVALID_SIGNATURE)

Pastaba. Ši problema susijusi tik su parašai, sukurtas SHA-1.
Priežastis
Ši problema kyla dėl įvairių būdų, CAPI2uses bendrauti su pagrindinių komponentų ŠifroAPI rietuvėje. Būdai yra šie:
  • CAPI 2 naudoja Senstelėjęs kriptografijos API 1 CAPI 1 SHA-1, ir CAPI 1allows ir DigestInfo trūksta.
  • CAPI 2 naudoja kriptografijos API kitą generavimas (CNG) SHA-2, ir CNG neleidžia DigestInfo, kad trūksta.
Pastaba. Nors šiame straipsnyje aprašoma tik problemas, kylančias naudojant "certutil.exe", bet kurią programą, kuri naudoja ŠifroAPI veiks taip pat kaip ir certutil.exe.
Daugiau informacijos

Tikrinant ĮSA, kuris yra pasirašytas su "1.2.840.113549.1.1.5 sha1RSA" ir be DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 88 fc ea 9b cb 35 17 b8 3c 4a be e1 c9 94 23 e3 00f0 71 5c 8f 81 5f 24 bd af 4b 00 ea e2 b4 08 6f 3f Signature matches Public Key Key Id Hash(rfc-sha1): b3 1c 76 1c d9 67 d2 8d 62 15 4a 1c 47 4d dd a6 65 03 9d 5d Key Id Hash(sha1): fb b1 8f 14 39 5c fb 63 81 90 56 e8 37 e1 9b bd e2 a6 79 64 CertUtil: -dump command completed successfully. 

Tikrinant ĮSA, kuris yra pasirašytas su "1.2.840.113549.1.1.11 sha256RSA" ir be DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 2c 23 b3 36 f4 10 10 94 99 02 95 8f 64 1d 71 0c 00f0 6c f4 13 ae 0e 6b b1 ef c4 1e 10 c0 1f 34 4d 16 Signature does not match Public key: c000a000 Cannot decode object: The cryptographic signature is invalid. 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: -dump command FAILED: 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: The cryptographic signature is invalid. 


Įspėjimas: šis straipsnis išverstas automatiškai

Savybės

Straipsnio ID: 3080171 – Paskutinė peržiūra: 12/03/2015 16:37:00 – Peržiūra: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Essentials, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3080171 KbMtlt
Atsiliepimai