DigestInfo está em falta num representante de suporte quando SHA-1 é utilizado um algoritmo de assinatura

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3080171
Sintomas
Quando utiliza a ferramenta de certutil.exe para verificar a assinatura do certificado pedidos (representantes de suporte), certutil.exe devolve a seguinte mensagem, mesmo que os representantes de suporte contêm onlya assinado o valor de hash (sem a estrutura de ASN. 1 de DigestInfo):
A assinatura corresponde à chave pública

Notas
  • Certutil.exe não deve validar os representantes de suporte com apenas um valor de hash assinada, porque a estrutura de ASN. 1 do DigestInfo esperada contém mais do que apenas os dados de hash.
  • Outras ferramentas, tal como openssl, marcar os representantes de suporte como inválida.
Este problema ocorre quando o SHA-1 é utilizado num algoritmo de assinatura, tais como "1.2.840.113549.1.1.5 sha1RSA."

Quando o representante de suporte for assinado utilizando SHA-2, como em "1.2.840.113549.1.1.11 sha256RSA," certutil.exe devolve o seguinte erro esperado:

0XC000A000 (NT: 0XC000A000 STATUS_INVALID_SIGNATURE)

Nota Este problema está limitado a assinaturas que são criadas pelo SHA-1.
Causa
Este problema ocorre devido a diferentes métodos que CAPI2uses para interagir com os componentes subjacentes na pilha CryptoAPI. Os métodos incluem o seguinte:
  • CAPI 2 utiliza legacy criptografia de 1 de API (CAPI 1) para SHA-1 e CAPI 1allows a DigestInfo em falta.
  • CAPI 2 utiliza API de geração CNG (Cryptography Next) para o SHA-2 e CNG não permite DigestInfo estar em falta.
Nota Embora este artigo descreve apenas os problemas que ocorrem quando certutil.exe é utilizado, qualquer aplicação que utilize o CryptoAPI irá funcionar exactamente como o certutil.exe.
Mais Informação

Verificar um representante de suporte que está assinado com "1.2.840.113549.1.1.5 sha1RSA" e sem DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 88 fc ea 9b cb 35 17 b8 3c 4a be e1 c9 94 23 e3 00f0 71 5c 8f 81 5f 24 bd af 4b 00 ea e2 b4 08 6f 3f Signature matches Public Key Key Id Hash(rfc-sha1): b3 1c 76 1c d9 67 d2 8d 62 15 4a 1c 47 4d dd a6 65 03 9d 5d Key Id Hash(sha1): fb b1 8f 14 39 5c fb 63 81 90 56 e8 37 e1 9b bd e2 a6 79 64 CertUtil: -dump command completed successfully. 

Verificar um representante de suporte que está assinado com "1.2.840.113549.1.1.11 sha256RSA" e sem DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 2c 23 b3 36 f4 10 10 94 99 02 95 8f 64 1d 71 0c 00f0 6c f4 13 ae 0e 6b b1 ef c4 1e 10 c0 1f 34 4d 16 Signature does not match Public key: c000a000 Cannot decode object: The cryptographic signature is invalid. 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: -dump command FAILED: 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: The cryptographic signature is invalid. 


Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3080171 - Última Revisão: 12/03/2015 16:39:00 - Revisão: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Essentials, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3080171 KbMtpt
Comentários