David.Turing's blog

發現GDCA USBKey(電子鑰匙)的CSP數字簽名實現存在缺陷

今天，拿到了幾條GDCA(http://www.gdca.com.cn/)的幾條鑰匙，看了一下GDCA的USBKey, 同時，我用SecureX的SecureSign去測試GDCA的UsbKey, 發現能夠List KeyEntry和Trust Entry。

上圖中KeyEntry兩個私鑰項(分為加密/簽名兩種KeyUsage),但是我用簽名那個KeyEntry生成簽名的時候,就是會拋異常:

我覺得有點惱火, 為什么我用吉大正元的鑰匙可以而GDCA的就不行?
我沒法看到GDCA的DLL代碼, 估計是GDCA不正確的實現了數字簽名.
SecureX是按照標準的CryptoAPI入口調用數字簽名的.

希望GDCA的朋友能夠給予一些解釋.

posted on 2006-09-26 17:33 david.turing 閱讀(5669) 評論(6) 編輯收藏所屬分類: Security領域、Security異常問題

評論

# re: GDCA的數字簽名實現存在缺陷 2006-09-27 17:33 david.turing

今天，在SSL握手測試中，發現GDCA的鑰匙確實有問題，WatchData Cryptographic Provider v3.0是握奇的CSP，但是我懷疑是簽名有問題導致SSL握手出現錯誤，結合上面的癥狀，有足夠理由質疑GDCA的CSP實現存在缺陷。回復更多評論

# re: 發現GDCA USBKey(電子鑰匙)的CSP數字簽名實現存在缺陷 2006-09-29 13:15 我

GDCA的key的數字簽名很難用~ 回復更多評論

# re: 發現GDCA USBKey(電子鑰匙)的CSP數字簽名實現存在缺陷 2006-12-07 16:30 Erox

我使用了Eclipse3.2.1版本，安裝了SecureX2.0.0的插件，用它的“SecureSign管理客戶端”工具來簽名和驗簽都能通過啊。沒什么問題啊！！回復更多評論

# re: 發現GDCA USBKey(電子鑰匙)的CSP數字簽名實現存在缺陷 2006-12-08 16:51 mzzzx@sohu.com

GDCA 我也分析得比較多

他們簽名時產生數據用了很特殊得數字信封。

非標準的 CAPI

不是缺陷。另外在的私鑰的使用與其他USBKEY不同系統證書存儲區看不到回復更多評論

# re: 發現GDCA USBKey(電子鑰匙)的CSP數字簽名實現存在缺陷 2007-06-11 17:08 cert

你好，我剛用securityX，請問load local keystore沒有反應，不能讀出系統中的證書，是什么原因？回復更多評論

# re: 發現GDCA USBKey(電子鑰匙)的CSP數字簽名實現存在缺陷 2011-08-17 21:43 summit

這個不是缺陷..出于安全考慮設計的回復更多評論

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: 關于配置Weblogic的NodeManager服務 [原創] Pass SSL Certificate to Weblogic Cluster through Apache Proxy under SSL [原創]Apache Proxy with Weblogic Cluster under SSL 發布一個簡易版本的SecureXRCP [原創]國內大部分的USBKey通過B/S方式（CAPICOM）產生數字簽名的嚴重安全漏洞 SecureX Eclipse Plugin Alpha2發布發布SecureX Eclipse Plugin 2.0.0 alpha版本 [轉載]推薦一下CSDN《程序員》的《開源大本營》 Yale CAS as an Acegi Client in SpringSide [原創] SSO(Single Sign-on) in Action(上篇)

導航

統計

隨筆 - 163
文章 - 19
評論 - 715
引用 - 0

常用鏈接

留言簿(110)

我參與的團隊

架構師之家(0/0)

隨筆分類(126)

隨筆檔案(155)

文章分類(9)

文章檔案(19)

相冊

dev2dev

搜索

積分與排名

積分 - 874217
排名 - 43

最新隨筆

最新評論

1.?re: Ktpass和KTab的主要用法[未登錄]
我想請教一下，怎么查看keytab文件中的key啊。
--Alex
2.?re: [原創] SSO(Single Sign-on) in Action(上篇)[未登錄]
@田野
同求啊，最近在做畢業設計，也遇到了再cas3中支持saml的問題，請問如何解決啊
--燕子
3.?re: javax.security.auth.login.LoginException:沒有為 XXX 配置LoginModules [未登錄]
更改了java.security里的login.config.url還是不對，路徑沒錯啊，有大神來沒
--Alex
4.?re: Apache License更適合中國人
評論內容較長,點擊標題查看
--Hanbin
5.?re: Apache License更適合中國人
評論內容較長,點擊標題查看
--swordfeng
6.?re: Apache License更適合中國人
而且我很奇怪, Eclipse的插件不是都普遍使用EPL-1.0的license么?
--Snoopy
7.?re: Apache License更適合中國人
評論內容較長,點擊標題查看
--Snoopy
8.?re: 讀取操作PDF的Java類庫
整理一些實例更好了。
--嗚啦啦
9.?re: Apache License更適合中國人
不明白為什么回復都是一片罵聲，難度你們修改過GPL的軟件都開源了嗎？難道你們的windows是正版的？難度你們的VS也是正版的？
--程序猿
10.?re: 解釋CAS Logout問題[未登錄]
明顯說得不對。logout的時候，cas server會向webapp發送請求注銷的，我的日志里兩邊都能看到，只是報錯了，還是能繼續訪問。
--王
11.?49 48 44 52
了解
--00 00 00 CE 00 00 00 CE 08 02 00 00 00
12.?re: [原創]國內大部分的USBKey通過B/S方式（CAPICOM）產生數字簽名的嚴重安全漏洞
這個問題對一代USBKey確實有這個問題，但是二代所見即所簽就沒有這個問題了
--一氣哈成
13.?re: 將Spring用于高并發環境的隱憂[未登錄]
@flyisland
我也混亂了，ff29.
--南云
14.?re: [原創] SSO(Single Sign-on) in Action(上篇)[未登錄]
這個文章很好，下篇有沒
--bin
15.?re: 編寫一個類似KeyStore Explorer的Eclipse插件[未登錄]
1無圖，2無下載，你說個屁！
--xiaozhu
16.?re: 解釋CAS Logout問題[未登錄]
整篇都是在瞎扯，還自己發明了理論。。。。logout 不是退出系統無語了。。
--test
17.?客戶端信任所有證書或是服務器端添加證書兩種方式解決
評論內容較長,點擊標題查看
--Trinea
18.?re: 0Day發布Confluence 2.1.4 破解，所見即所得的編輯界面終于亮相
師兄，求密碼，謝謝你百忙之中抽空來回復我！祝你工作順利！
beichen2210@126.com
--beichen
19.?re: 0Day發布Confluence 2.1.4 破解，所見即所得的編輯界面終于亮相
clancy_js@163.com
兄臺求密碼
--游客
20.?re: 解釋CAS Logout問題
評論內容較長,點擊標題查看
--liveandevil
21.?re: 已經申請了Google Hosted Mail[未登錄]
給我一個邀請謝謝了 magicbaby810@gmail.com
--SK
22.?re: 0Day FTP服務器帳號密碼
看得懂的就是夠資格了，看不懂就不要強求了。信息是經過加密的，對加密有所了解的都能輕易解開。

就是不知道2年前的信息，現在改了沒有
--刷刷刷
23.?re: Yale CAS異常問題總結(1)Unable to validate ProxyTicketValidator之HTTPS hostname wrong: should be.....[未登錄]
評論內容較長,點擊標題查看
--cx
24.?re: Programmer援助交際群證書發布
找個好女人做朋友
--程斌
25.?re: Apache License更適合中國人
實在不能理解為何您使用原作者的代碼還強硬的想要違背原作者的意愿和GPL，然后還說出宣戰這種話，好似取得巨大勝利一般，無法理解！不管是對作者，對法律，對協議，連起碼的尊重都沒有！
--一只程序猿
26.?re: Apache License更適合中國人
@ds
同意。這么丟人的事居然還拿出來大書特書，好像自己抗戰勝利似得。

還說“他已經對開源沒興趣。。。”，明明是自己不遵守開源協議，這人也有意思，居然還耐著性子回了那么多郵件
--dirtyacc@126.com
27.?re: Certificate chain received from 客戶端- 192.168.10.10 was not trusted causing SSL handshake failure
jjjjj
--11
28.?re: Yale CAS異常問題總結(1)Unable to validate ProxyTicketValidator之HTTPS hostname wrong: should be.....[未登錄]
我的也是啊，用ip生成的cn，也是用ip訪問，還是報這個錯誤啊
--小豬
29.?re: 發現GDCA USBKey(電子鑰匙)的CSP數字簽名實現存在缺陷
這個不是缺陷..出于安全考慮設計的
--summit
30.?re: [原創]國內大部分的USBKey通過B/S方式（CAPICOM）產生數字簽名的嚴重安全漏洞
評論內容較長,點擊標題查看
--ca
31.?re: 解釋CAS Logout問題
評論內容較長,點擊標題查看
--say_hello
32.?re: [原創]實施WebService Security[WS-Security1.0]的Encrypt和Sign模式(XFire+WSS4J)
評論內容較長,點擊標題查看
--xuezhishou
33.?re: [原創] SSO(Single Sign-on) in Action(上篇)[未登錄]
看不出CAS和SAML的差別

你畫的那個SAML再加一個服務實際上整個流程就是CAS了

Ticket和斷言除了叫法不一樣之外有什么差別?
--ddd
34.?re: 微軟開始使用Google廣告了[未登錄]
test
--me
35.?re: Apache License更適合中國人[未登錄]
丟人。
--ds
36.?re: Unexpected Signal : EXCEPTION_ACCESS_VIOLATION
# An error report file with more information is saved as hs_err_pid1964.log
--replica watch
37.?re: Apache License更適合中國人[未登錄]
坦白地說是不是樣板戲看多了，不要選擇斗爭，沒有好處的。
你既然是用他的代碼就該遵守授權，這是天經地義的。

我個人不看盜版碟片、不用盜版軟件：包括操作系統是自己購買的。
--maple
38.?re: [原創] SSO(Single Sign-on) in Action(上篇)
評論內容較長,點擊標題查看
--Jacklondon Chen
39.?re: 關于JVM的Thin Lock, Fat Lock, SPIN Lock與Tasuki Lock
達人呀。研究的很深呀。
--游客
40.?re: [原創] SSO(Single Sign-on) in Action(上篇)
評論內容較長,點擊標題查看
--jacklondon chen

閱讀排行榜

評論排行榜

主站蜘蛛池模板：石狮市| 五指山市| 攀枝花市| 霍山县| 顺昌县| 托里县| 衡东县| 扎赉特旗| 蓬溪县| 双江| 土默特左旗| 清水县| 来安县| 郎溪县| 溧阳市| 仪征市| 昌图县| 开原市| 定襄县| 个旧市| 惠州市| 将乐县| 手机| 蕉岭县| 友谊县| 庄河市| 山丹县| 奉新县| 潞西市| 肥东县| 南江县| 凌海市| 内江市| 威宁| 高平市| 澄城县| 禄劝| 行唐县| 连云港市| 陆川县| 东光县|