🦋 〰️ 👅 CachéでのMS CRYPTO APIの使用 👨🏻‍🏭 🐆 🥞

データベースを知識のソースとして言えば、これは常に、多様で順序付けられた（またはそうではない）情報の大きな倉庫であるだけでなく、その安全な保管場所でもあることを意味します。セキュリティとは、通常、通信チャネルを介した伝送中の不正アクセスからデジタルデータを保護することを指しますが、データキャリアの物理的な保護を忘れないでください。それにも関わらず、サーバールームにはどの装甲ドアを配置するのが良いか、入り口で何人の警備員を勤務させるべきかについては議論しませんが、暗号についてお話します。

暗号という言葉の最も広い意味では、情報の機密性と信頼性を確保するための方法の科学です。つまり、見知らぬ人によるデータの読み取りが不可能であること、および第三者によるデータの秘密の置換が不可能であることを保証します。過去4000年にわたり、科学者、エンジニア、その他の人物は、現在1台のコンピューターに置き換えられている多くの独創的な暗号化デバイスとメカニズムを開発してきました。したがって、現在のさまざまな暗号情報保護ツール（CIP）はすべて、さまざまなアルゴリズムによって提供されており、その多くが発明されています。

注意、質問！暗号の知恵から遠く離れた開発者は、特定の各アプリケーションのデータをどのように保護できますか？自分の独創的な暗号化アルゴリズムを考え出す必要がありますか、それとも誰かが書いた暗号情報を使用できますか？幸いなことに、車輪を再発明する必要はありません。たとえば、単一のソフトウェアインターフェイスであるMS CryptoAPIを使用できます。さまざまな暗号化情報セキュリティ企業（暗号化サービスプロバイダーまたはCSP-暗号化サービスプロバイダーとも呼ばれます）が独自の方法で実装できる広範な暗号化機能とアルゴリズムについて説明しますが、単一のAPIを使用してそれらにアクセスします。
アプリケーションに暗号化機能を実装するには、次のことを行う必要があります。

まず、使用する暗号化保護アルゴリズムを決定します。選択は、暗号の信頼性、作業の速度、キーの長さ、または技術的なタスクで単純に規定することができます。
第二に、どの暗号プロバイダーがこのアルゴリズムを実装し、認定され、より安価であるかを見つけることです。
3番目に、CIPFのライセンスパッケージの幸せな所有者になり、サーバーにインストールします。
4番目に、CIPF関数を呼び出してアプリケーション内で動作できるモジュールをソリューションに記述します。

私が自分で設定したタスクは、これらの各ステップを実行し、その結果、CachéがMS Crypto API関数にアクセスできるソリューションを取得することでした。
提案されたアプローチを検討した結果、次の2つの大きな利点があることがわかります。

多項式デバイスを調べて、独自の暗号化、ハッシュ、またはデータ署名アルゴリズムを作成する必要はありません。
多くの暗号情報保護証明書はGOSTに従って既に認証されており、多くの顧客企業、特に州の企業にとって、これは最も重要な要件の1つです。

「小さな」マイナスも1つあります-CryptoAPIはWindowsでのみ動作します。

長所は私たちにインスピレーションを与え、短所は失望しなかったが、CachéDBMSを操作するためにCryptoAPI関数を使用するアプローチを見つけるというタスクは非常に具体的だと仮定します。 CSPがすでにインストールおよび構成されているとします。CachéからCSPを操作する方法は？ 1つのオプションは、Cachéに実装されているコールアウトメカニズムを使用することです。それについてさらに説明します。

コールアウトは、CachéのDLLから関数を呼び出すように設計されています。実際、これは、たとえばC ++でコードを作成し、DLLで構成し、それを決定に使用できることを意味します。また、このアプローチにより、DLLの作成時にWindows APIのさまざまな機能、特にCryptoAPIを使用できます。

計画段階で、すぐにDLL自体（ISCAPIと呼ばれる）だけでなく、テストおよびデバッグツール（CryptoConsole）も作成することにしました。

下の図では、グラフィカルに表示されています。基本クラスCacheCommon（C ++）があります。これは、暗号プロバイダーの構成、暗号情報保護システムの初期化、コンテキスト、キー、ハッシュデータの取得、デジタル署名の作成と検証、暗号化、ロギングなどを可能にする機能を実装しています。これらの関数はすべて、デバッグコンソールとライブラリで一様に使用されます（コンソールとDLLはC ++で記述されています）。 CachéのDLLはデバッグが非常に難しいため、単一の形式のアクセスが特別な役割を果たします。そのため、開発、デバッグ、およびテストの主な負担はコンソールにあります。ソリューション全体のコードは公開されています。こちらで見つけることができます。

サーバー側では、Cachéはiscapi.Signerクラスを介してISCAPI.DLLと対話します

クラステキストiscapi.Signer

///     -  MS CRYPTO API Class iscapi.Signer Extends %RegisteredObject { ///  DLL /// dllPath -     ClassMethod LoadDLL(dllPath As %String) As %Status { s result = $$$OK if (dllPath = "") { w "Please set dllPath equal to path to the ISCAPI.dll" q $$$ERROR($$$GeneralError, "No path to iscapi.dll is provided") } try { d $zf(-3, dllPath) } catch (ex) { s result = ex.AsStatus() } if (result=1) {w "DLL from "_dllPath_" was loaded"} else {w "Cannot load DLL from "_dllPath} q result } ///  DLL ClassMethod UnloadDLL() { d $zf(-3, "") } ///  -. /// provType -   (VipNet=2, CryptoPro=75) /// algId -   (32798) /// containerName -      /// pin -    (  , CSP      ,    ) /// providerName -  - ClassMethod Init(provType = 75, algId = 32798, containerName As %String, pin As %String = "111111", providerName As %String = "") As %Status { s result = $$$OK try { d $zf(-3, "", "Init", provType, algId, containerName, pin, providerName) } catch (ex) { s result = ex.AsStatus() } if (result=1) {w "CSP was successfully initialized"} else {w "Error during CSP initialization"} q result } ///  . /// logFileName -   .     . /// logLevel -   /// 0 -  /// 1 -   /// 2 -   /// logTargets - ,      /// 0 -    /// 1 -    /// 2 -    /// 3 -    ClassMethod InitLogger(logFileName As %String = "c:\iscapi.log", logLevel As %Integer = 2, logTargets As %Integer = 3) As %Status { s result = $$$OK try { d $zf(-3, "", "InitLogger", logFileName, logLevel, logTargets) } catch ex { s result = ex.AsStatus() } if (result=1) {w "Logger was successfully initialized"} else {w "Error during Logger initialization"} q result } ///   . ///         ,       . ClassMethod HashData(dataPortion As %String) As %Status { s result = $$$OK try { d $zf(-3, "", "HashData", dataPortion) } catch ex { s result = ex.AsStatus() } q result } ///  . ClassMethod HashFile(fileName As %String) As %Status { s result = $$$OK try { d $zf(-3, "", "HashFile", fileName) } catch ex { s result = ex.AsStatus() } q result } ///   . ///     ClassMethod GetHashValue() As %String { s result = "" try { s result = $zf(-3, "", "GetHashValue", "") } catch ex { w "GHV exception", ! zw ex s result = "" } w "GHV result is:", result, ! q result } ClassMethod ExportUserKey() As %String { s result = "" try { s result = $zf(-3, "", "ExportUserKey", "") } catch ex { s result = "" } q result } ///   . ///  . ClassMethod SignNewHash(dataPortion As %String) As %String { s result = "" try { s result = $zf(-3, "", "SignNewHash", dataPortion, "") } catch ex { s result = "" } q result } ///    . ClassMethod SignCurrentHash() As %String { s result = "" try { s result = $zf(-3, "", "SignCurrentHash", "") } catch ex { s result = "" } w "Signature recieved: ",result,! q result } ///   . ClassMethod VerifyHash(hash As %String, sign As %String) As %Boolean { s result = 0 try { s result = $zf(-3, "", "VerifyHash", hash, sign, 0) } catch ex { s result = 0 } q result } ClassMethod VerifyHashByKey(hash As %String, sign As %String, pubKey As %String) As %Boolean { s result = 0 try { s result = $zf(-3, "", "VerifyHashByKey", hash, sign, pubKey, 0) } catch ex { s result = 0 } q result } ///      . ///    ClassMethod VerifySignature(dataPortion As %String, sign As %String) As %Boolean { s result = 0 try { s result = $zf(-3, "", "VerifySignature", dataPortion, sign, 0) } catch ex { s result = 0 } q result } ///     DLL ClassMethod ReleaseAll() As %Status { s result = $$$OK try { d $zf(-3, "", "ReleaseAll") d ..UnloadDLL() } catch ex { s result = ex.AsStatus() } q result } ///     HEX /// TODO: rewrite ClassMethod ByteToHex(bString As %String) As %String { s str = "" for i=1:1:$l(bString) { s hex = $zhex($ascii($e(bString, i))) if ($l(hex) = 1) s hex = "0" _ hex s str = str _ hex } q str } ClassMethod HexToString(value As %String) As %String { s str = "" for i=1:2:$l(value) { s hex = $e(value, i, i + 1) s str = str _ $c($zhex(hex)) } q str } ///  DLL ClassMethod PrintProviders() As %Status { s result = $$$OK try { d $zf(-3, "", "PrintProviders") } catch ex { s result = ex.AsStatus() } q result } ///   ClassMethod Test() { s data = "123!" d ..LoadDLL("C:\ISCAPI.dll") w "DLL loaded", ! d ..InitLogger("c:\iscapiL.txt", 2, 1) w "Logger initialized", ! d ..PrintProviders() d ..Init(75, 32798, "CacheCrypt", "", "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider") w "CSP initialized", ! d ..HashData(data) w "Hash created on: ", data, ! s hash = ..GetHashValue() w "Hash received, hash length=", $l(hash), ! w "Hash to base64:", !, $system.Encryption.Base64Encode(hash), ! w "Hash to HEX:", !, ..ByteToHex(hash), ! w "Hash value:", hash, ! s sign = ..SignCurrentHash() w "Hash signed, sign length=", $l(sign), ! w "Sign to base64:", !, $system.Encryption.Base64Encode(sign), ! w "Sign to HEX:", !, ..ByteToHex(sign), ! s vfy = ..VerifyHash(hash, sign) w "Verifying Hash signature result = ", vfy, ! s vfy = ..VerifySignature(data, sign) w "Verifying Signature by input text result = ", vfy, ! w "Exporting User Key...",! s userKey = ..ExportUserKey() w "Size: ", $l(userKey), ! w "UserKeyBytes: ", ..ByteToHex(userKey), ! s vfy = ..VerifyHashByKey(hash, sign, userKey) w "Verifying Hash signature ByKey result = ", vfy, ! d ..ReleaseAll() } }

コールアウトメカニズムはここで実装されます。つまり、CachéクラスのメソッドからDLLに存在するCryptoAPI関数に直接アクセスできます。アクセスは、CachéObject Scriptからiscapi.Signerクラスメソッドを呼び出すことで実装されます。とりわけ、これは初心者開発者にとって有益な例であり、Cachéの外部ライブラリを操作する機能を理解できます。

ここで、実装された機能についていくつか説明します。コンソールアプリケーション（CryptoConsole.exe）からチェックするのが最も便利です。起動直後に、使用可能なすべてのコマンドとそれらが呼び出される順序を確認できます。関数のパラメーターを入力するには、スペースで区切ってリストします。通常、いくつかの単語で構成される長いパラメーターは、引用符で囲まれています。
コンソールコマンドは、次の3つのタイプに分類できます。
1.サービスチーム
典型的な例は、プロセスで使用可能なすべてのコマンドのリストを表示するhelpコマンドです。サービスコマンドには、システムにインストールされている暗号化プロバイダーに関する情報をユーザーに表示するshowProvidersおよびshowProvParamsコマンドも含まれます。
2.初期化コマンド
暗号化プロバイダーを構成および開始するには、初期化コマンドが必要です。一般に、コンテキストを初期化するには、次を指定する必要があります。

暗号プロバイダーのタイプ番号（provIDコマンド）。これはほとんど何も意味しない数値ですが、システムが作業するCSPを識別するのに役立ちます。
アルゴリズム番号（signAlgIDコマンド）。一般的に、いくつかのアルゴリズムが存在する可能性があります。この場合、ハッシュおよびデータ署名アルゴリズムを指定することをお勧めします。
キーコンテナ名（contNameコマンド）。
キーコンテナからのPIN（contPINコマンド）。キーコンテナの設定は、暗号化プロバイダーのインストールおよび構成中に行われます。
使用されるCSPのフルネーム（provNameコマンド）。通常、これは長い文字列です。システムがどの暗号化プロバイダーを使用するかを理解するために必要であり、CSPタイプに追加するものであり、それだけでは一意に識別できません。

暗号化アルゴリズムのコードなど、システムに設定できる追加のパラメーターがありますが、これらの5つはCSPの初期初期化に必要です。
3.暗号化コマンド
CSPが初期化されると、暗号化プロバイダーコンテキスト（aContextコマンド）を取得する必要があります。その後、ハッシュを作成し、データに署名し、暗号化できます。つまり、このパッケージが作成されたすべてを実行できます。
主なチーム：

hashData、データ文字列をハッシュします
hashFile、データファイルをハッシュします
signCurrentHash、現在の計算されたハッシュに署名する
signNewHash、システムに新しいハッシュを作成して署名します
verifyHash、署名一致ハッシュを検証します
verifySignature、署名が元のデータと一致することを検証します
encryptData、文字列のデータを暗号化します
decryptData、以前に暗号化されたデータを復号化します。

コマンドのリストは、実際にはここで示したものよりもはるかに広いです。そしてポイントは、アプリケーションが常に開発中であるということだけではありません。デバッグとテストを行う場合、いくつかの関連プロシージャを順番に呼び出し、最終結果を確認するか、コードで事前定義された値でCSPを初期化する一時スクリプト関数を作成すると非常に有益です。
原則として、これらの関数がドキュメント化されることはめったにありませんが、アプリケーションコードを見ると印象的です。

新しい関数を追加する場合は、まずCacheCommonでそれらを実装し、コンソールアプリケーションを使用してテストし、次にDLLに追加し、最後にiscapi.Signerを介してそれらの関数へのアクセスを開きます。コンソールアプリケーションと同じ方法で、動的ライブラリの関数に名前を付けることをお勧めします。「ZFBEGIN ... ZFEND」ブロックのDLLコードでは、利用可能なすべての手順の列挙が必須であることに注意してください。

現在実装されている関数のセットは小さいですが、絶対にすべてを実行するようにタスクを設定していません。すでにデータハッシュを作成して署名し、デジタル署名を検証できます。少なくとも、関心のある各開発者が暗号化プロバイダーをすばやく構成し、そのコンテキストを初期化して使用を開始できるようにするフレームワークがあります。新しい関数の追加は、既存の関数との類推によって実行されるため、それほど時間はかかりません。
すべてのCaché開発者を招待して、プロジェクトの結果を使用し、その開発に参加したいと思います。

CachéでのMS CRYPTO APIの使用

More articles: