转换椭圆曲线参数（BC 到 MS）

Question

我正在尝试生成 ECDSA 自签名证书，如使用 ECDSA 生成证书中所述。将 bartonjs 的答案中的所有部分放在一起并使用Net.Framework 4.7(或Net.Core 2.0) 以下代码似乎有效，尽管还存在一些歧义（至少一个）：

我不确定如何正确地将私钥（“D”参数）从 转换BC-BigInteger为MS-byte[]. 使用BigInteger.ToByteArray()抛出异常：

CryptographicException：指定的关键参数无效。QX 和 QY 是必填字段。QX、QY 的长度必须相同。如果指定了 D，则它必须与命名曲线的 QX 和 QY 长度相同，或者与显式曲线的 Order 长度相同。

同时验证 ECParameters（方法ECParameters.Validate()）。使用BigInteger.ToByteArrayUnsigned()提供了更好的结果（数百个生成的密钥对中的一个失败），但仍然......

使用ToByteArray()转换后的“D”通常会长一个字节（“D”有 33 个字节，而 DX 和 DY 有 32 个字节）。使用ToByteArrayUnsigned()“D”有时会短一个字节。

所以我的问题是是否可以使用ToByteArrayUnsigned()。

private const string NCryptExportPolicyProperty = "Export Policy";
private const string SignatureAlgorithm = "Sha256WithECDSA";
private static readonly ECCurve MsCurve = ECCurve.NamedCurves.nistP256;
private static readonly DerObjectIdentifier BcCurve = SecObjectIdentifiers.SecP256r1; // must correspond with MsCurve

public static X509Certificate2 Create()
{    
    // 1. generate keys:
    IAsymmetricCipherKeyPairGenerator bcKeyGen = GeneratorUtilities.GetKeyPairGenerator("ECDSA");
    bcKeyGen.Init(new ECKeyGenerationParameters(BcCurve, new SecureRandom()));

    ECPrivateKeyParameters bcPrivKey;
    ECPublicKeyParameters bcPublKey;

    bool validated;
    ECParameters msEcp;
    do
    {
        AsymmetricCipherKeyPair bcKeyPair = bcKeyGen.GenerateKeyPair();
        bcPrivKey = (ECPrivateKeyParameters)bcKeyPair.Private;
        bcPublKey = (ECPublicKeyParameters)bcKeyPair.Public;

        // 2. ensure generated bc-keys can be translated to cng (see exception below)
        msEcp = new ECParameters();
        msEcp.Curve = MsCurve;
        msEcp.D = bcPrivKey.D.ToByteArrayUnsigned(); // or bcPrivKey.D.ToByteArray() ??
        msEcp.Q.X = bcPublKey.Q.XCoord.GetEncoded();
        msEcp.Q.Y = bcPublKey.Q.YCoord.GetEncoded();

        try
        {
            msEcp.Validate();
            validated = true;
        }
        catch (Exception e)
        {
            // Validate() occasionally throws CryptographicException: 
            // The specified key parameters are not valid. Q.X and Q.Y are required fields. Q.X, Q.Y must be the same length. If D is specified it must be the same length as Q.X and Q.Y for named curves or the same length as Order for explicit curves.
            // e.g.: D = 31, Q.X = 32, Q.Y = 32.
            validated = false;
            Console.WriteLine("D = {0}, Q.X = {1}, Q.Y = {2}. {3}: {4}", msEcp.D.Length, msEcp.Q.X.Length, msEcp.Q.Y.Length, e.GetType().Name, e.Message);
        }
    } while (!validated);

    // 3. create x509 certificate:
    X509V3CertificateGenerator bcCertGen = new X509V3CertificateGenerator();
    bcCertGen.SetPublicKey(bcPublKey);
    // .. set subject, validity period etc
    ISignatureFactory sigFac = new Asn1SignatureFactory(SignatureAlgorithm, bcPrivKey);
    Org.BouncyCastle.X509.X509Certificate bcX509Cert = bcCertGen.Generate(sigFac);
    byte[] x509CertEncoded = bcX509Cert.GetEncoded();

    X509Certificate2 msNewCert;

    // 4. use translated (and validated) parameters:
    using (ECDsaCng msEcdsa = new ECDsaCng())
    {
        msEcdsa.ImportParameters(msEcp);

        CngKey msPrivateKey = msEcdsa.Key;

        // 5. make private key exportable:
        byte[] bytes = BitConverter.GetBytes((int)(CngExportPolicies.AllowExport | CngExportPolicies.AllowPlaintextExport));
        CngProperty pty = new CngProperty(NCryptExportPolicyProperty, bytes, CngPropertyOptions.Persist);
        msPrivateKey.SetProperty(pty);

        // 6. tie keys together:
        using (X509Certificate2 msPubCertOnly = new X509Certificate2(x509CertEncoded))
        {
            msNewCert = MateECDsaPrivateKey(msPubCertOnly, msPrivateKey); // method from bartonjs's answer
        }
    }

    return msNewCert;
}

先感谢您

Answer 1

当您获得太多字节（在本例中为 33）时，第一个字节应该是0x00，您需要将其删除。当你得到的数据太少时（从技术上讲 D=1 是有效的），你需要插入零来填充数组。

原因是.NET 的结构期望 D 与底层 Windows CNG 导入 API 的结构相同，这意味着 D 是固定的无符号大尾数法大整数。BouncyCastle 为您提供 BER INTEGER 编码，0x00当最高有效字节（字节 [0]，大端）的高位设置为应被视为正数的数字时，需要插入一个字节。

BER 还有一个规则，即使用最小字节数，这就是为什么有时 BouncyCastle 给出的数字太小。

QX和QY是可以的，因为ECPoint编码规则指定了一个固定大小的大端整数，其大小由曲线决定；这就是为什么 BouncyCastle 有GetEncoded方法 而不仅仅是ToByteArrayUnsigned.

private static byte[] FixSize(byte[] input, int expectedSize)
{
    if (input.Length == expectedSize)
    {
        return input;
    }

    byte[] tmp;

    if (input.Length < expectedSize)
    {
        tmp = new byte[expectedSize];
        Buffer.BlockCopy(input, 0, tmp, expectedSize - input.Length, input.Length);
        return tmp;
    }

    if (input.Length > expectedSize + 1 || input[0] != 0)
    {
        throw new InvalidOperationException();
    }

    tmp = new byte[expectedSize];
    Buffer.BlockCopy(input, 1, tmp, 0, expectedSize);
    return tmp;
}

...

msEcp = new ECParameters();
msEcp.Curve = MsCurve;
msEcp.Q.X = bcPublKey.Q.XCoord.GetEncoded();
msEcp.Q.Y = bcPublKey.Q.YCoord.GetEncoded();
msEcp.D = FixSize(bcPrivKey.D.ToByteArrayUnsigned(), msEcp.Q.X.Length);