Buonasera a tutti.
Ho la necessità di avere maggiori informazioni circa l'utilizzo della classe RSACryptoServiceProvider per la firma di documenti XML.
Mi trovo in questo scenario:
Ho la mia applicazione WPF che a seguito di una serie di verifiche emette un documento XML nascosto contenente dei dati "importanti" per la mia applicazione.
Questo documento viene dapprima criptato e salvato, successivamente dovrà essere verificato ed eventualmente decriptato.
Premesso che tutto mi funziona (grazie anche alle msdn Microsoft), vorrei farVi conoscere il mio modo di lavorare per capire se possono esserci errori e se sussiste il possibile fallimento di tale procedura (se l'utente riesce a risalire al codice sorgente considerato che esso non è offuscato).
Step 1) creo il documento XML e lo salvo su disco (evito il codice), successivamente lo crittografo:
Dim cspParams As New CspParameters
cspParams.KeyContainerName = "XXXX"
Dim rsaKey As New RSACryptoServiceProvider(cspParams)
Dim xmlDoc As New XmlDocument
xmlDoc.PreserveWhitespace = True
xmlDoc.Load("C:\Users\Marco\Desktop\44524111.xml")
SignXml(xmlDoc, rsaKey)
xmlDoc.Save("C:\Users\Marco\Desktop\44524111.xml")Sub SignXml(ByVal xmlDoc As XmlDocument, ByVal Key As RSA)
If xmlDoc Is Nothing Then
Throw New ArgumentException("xmlDoc")
End If
If Key Is Nothing Then
Throw New ArgumentException("Key")
End If
Dim signedXml As New SignedXml(xmlDoc)
signedXml.SigningKey = Key
Dim reference As New Reference()
reference.Uri = ""
Dim env As New XmlDsigEnvelopedSignatureTransform()
reference.AddTransform(env)
signedXml.AddReference(reference)
signedXml.ComputeSignature()
Dim xmlDigitalSignature As XmlElement = signedXml.GetXml()
xmlDoc.DocumentElement.AppendChild(xmlDoc.ImportNode(xmlDigitalSignature, True))Nel listato di cui sopra dichiaro un CspParameters con un contenitore di chiavi. Successivamente utilizzo la chiave per firmare il documento.
Step 2) Carico il documento XML, ricreo un contenitore di chiavi e una rsaKey e verifico che il documento sia integro e non sia stato variato:
Dim cspParams As New CspParameters
cspParams.KeyContainerName = "XXXX"
Dim rsaKey As New RSACryptoServiceProvider(cspParams)
...
Dim signedXml As New SignedXml(Doc)
Dim nodeList As XmlNodeList = Doc.GetElementsByTagName("Signature")
signedXml.LoadXml(CType(nodeList(0), XmlElement))
Return signedXml.CheckSignature(Key)
Come detto, il tutto mi funziona ma vorrei chiedervi, oltre se il modo di procedere è corretto, anche se il fatto di dichiarare la KeyContainerName "in chiaro" possa rendere vulnerabile il progetto. Inoltre le mie chiavi privata/pubblica sono facilmente raggiungibili da chi riuscisse a vedere il contenuto del codice intero?
Spero di riuscire ad avere maggiori informazioni da Voi.
Grazie tante!
