Формирование PKCS#7 detached signature для авторизации через систему ЕСИА

1074dad5fb1c18689e86f9ce1fea8641

Всем привет! Меня зовут Богдан, я тимлид java-команды в одном из российских банков. И да, конечно, вот мой телеграм где я делюсь буднями нашей разработки и всякими эдакими приемами которые мы используем.

Недавно появилась необходимость интеграции с авторизацией через систему ЕСИА о сути такой интеграции можно почитать например тут. Статья же про то как правильно средствами исключительно java, без всяких крипто про и прочих платных СКЗИ сформировать подпись запроса в формате PKCS#7 detached signature с использованием ГОСТ сертификата и ГОСТ Р 34.10–2012 алгоритма подписи.

Не люблю читать водянистые лонг риды, а еще более не люблю их писать, по этому прошу любить и жаловать, код для использования в ваших проектах: https://github.com/BlackSan11/esia-crypto, ведь что может здесь быть более красноречиво чем мысль оформленная в код и библиотеку в maven-централе? :)

Для подключения библиотеки:

Gradle:

implementation group: 'ru.chervoniy-ba', name: 'esia-crypto', version: '1.0.1'

Maven:


    ru.chervoniy-ba
    esia-crypto
    1.0.1

More:

https://central.sonatype.com/artifact/ru.chervoniy-ba/esia-crypto

Для формирование подписи необходимо настроить и создать объект EsiaSigner:

EsiaSigner esiaSigner = EsiaSigner.builder()
               .keyStoreSupplier(keyStoreSupplier)
               .privateKeyPasswordSupplier(() -> "key_password")
               .signingCertificateAliasSupplier(() -> "cert_alias")
               .build();

Где указать supplier’ы ключницы и алиаса нового сертификата и софрмировать подпись вызовом:

byte[] signatureByteArray = esiaSigner.signPkcs7("DATA FOR SIGNING".getBytes(StandardCharsets.UTF_8));

Ключница:

Создать supplier ключницы можно например так:

Supplier keystoreSupplier = () -> {
     *      try (InputStream stream = new FileInputStream("path/to/keystore.p12")) {
     *          KeyStore store = KeyStore.getInstance("PKCS12");
     *          store.load(stream, "p@ssword".toCharArray());
     *          return store;
     *      } catch (Exception e) {
     *          log.error("Keystore loading error", e);
     *          throw new RuntimeException(e);
     *      }
     * };

Также стоит сказать про настройки по умолчанию которые можно переопределить при создании EsiaSigner:

Алгоритм по умолчанию: GOST3411–2012–256WITHECGOST3410–2012–256

Признак открепленной подписи: true.

Спасибо за внимание, надеюсь был полезен, предложения по улучшению, а также ваши тапки жду в телеграмм канале.

© Habrahabr.ru