PKCS7Signature.java

  1. /*
  2.  * GovWay - A customizable API Gateway 
  3.  * https://govway.org
  4.  * 
  5.  * Copyright (c) 2005-2025 Link.it srl (https://link.it). 
  6.  * 
  7.  * This program is free software: you can redistribute it and/or modify
  8.  * it under the terms of the GNU General Public License version 3, as published by
  9.  * the Free Software Foundation.
  10.  *
  11.  * This program is distributed in the hope that it will be useful,
  12.  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  13.  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14.  * GNU General Public License for more details.
  15.  *
  16.  * You should have received a copy of the GNU General Public License
  17.  * along with this program.  If not, see <http://www.gnu.org/licenses/>.
  18.  *
  19.  */


  22. package org.openspcoop2.utils.security;

  24. import java.security.PrivateKey;
  25. import java.security.Provider;
  26. import java.security.Security;
  27. import java.security.cert.Certificate;
  28. import java.util.ArrayList;
  29. import java.util.List;

  31. import javax.xml.crypto.dsig.SignatureMethod;

  33. import org.bouncycastle.cert.X509CertificateHolder;
  34. import org.bouncycastle.cert.jcajce.JcaCertStore;
  35. import org.bouncycastle.cms.CMSProcessableByteArray;
  36. import org.bouncycastle.cms.CMSSignedData;
  37. import org.bouncycastle.cms.CMSSignedDataGenerator;
  38. import org.bouncycastle.cms.CMSTypedData;
  39. import org.bouncycastle.cms.jcajce.JcaSignerInfoGeneratorBuilder;
  40. import org.bouncycastle.operator.ContentSigner;
  41. import org.bouncycastle.operator.jcajce.JcaContentSignerBuilder;
  42. import org.bouncycastle.operator.jcajce.JcaDigestCalculatorProviderBuilder;
  43. import org.bouncycastle.util.Store;
  44. import org.openspcoop2.utils.UtilsException;
  45. import org.openspcoop2.utils.certificate.KeyStore;
  46. import org.openspcoop2.utils.certificate.KeystoreType;

  48. /** 
  49.  * Signature
  50.  *
  51.  * @author Poli Andrea (apoli@link.it)
  52.  * @author $Author$
  53.  * @version $Rev$, $Date$
  54.  */
  55. public class PKCS7Signature {

  57.     public static final String DEFAULT_SIGNATURE_METHOD = SignatureMethod.RSA_SHA256;
  58.     
  59.     private PrivateKey privateKey;
  60.     private Certificate certificate;
  61.     private Provider provider;
  62.     
  63.     public PKCS7Signature(KeyStore keystore, String alias, String passwordPrivateKey) throws UtilsException{
  64.         boolean useKeystoreProvider = false;
  65.         if(keystore!=null && KeystoreType.PKCS11.getNome().equalsIgnoreCase(keystore.getKeystoreType())) {
  66.             useKeystoreProvider = true;
  67.             // Prendo il provider dal keystore per PKCS11, il cui provider implementa l'algoritmo di firma specifica per la chiave memorizzata nel dispositivo.
  68.         }
  69.         init(keystore, alias, passwordPrivateKey, useKeystoreProvider);
  70.     }
  71.     public PKCS7Signature(KeyStore keystore, String alias, String passwordPrivateKey, boolean useKeystoreProvider) throws UtilsException{
  72.         init(keystore, alias, passwordPrivateKey, useKeystoreProvider); 
  73.     }
  74.     public PKCS7Signature(KeyStore keystore, String alias, String passwordPrivateKey, boolean useBouncyCastle, boolean addBouncyCastleProvider) throws UtilsException{
  75.         this(keystore, alias, passwordPrivateKey);
  76.         if(useBouncyCastle) {
  77.             if(addBouncyCastleProvider) {
  78.                 this.provider = Security.getProvider(org.bouncycastle.jce.provider.BouncyCastleProvider.PROVIDER_NAME);
  79.                 if(this.provider==null) {
  80.                     Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
  81.                     this.provider = Security.getProvider(org.bouncycastle.jce.provider.BouncyCastleProvider.PROVIDER_NAME);
  82.                 }
  83.             }
  84.             else {
  85.                 this.provider = Security.getProvider(org.bouncycastle.jce.provider.BouncyCastleProvider.PROVIDER_NAME);
  86.             }
  87.         }
  88.     }
  89.     private void init(KeyStore keystore, String alias, String passwordPrivateKey, boolean useKeystoreProvider) throws UtilsException {
  90.         if(keystore==null) {
  91.             throw new UtilsException("Keystore undefined");
  92.         }
  93.         this.privateKey = keystore.getPrivateKey(alias, passwordPrivateKey);
  94.         this.certificate = keystore.getCertificate(alias);
  95.         
  96.         if(useKeystoreProvider) {
  97.             this.provider = keystore.getKeystoreProvider();
  98.         
  99.             // Prendere il provider dal keystore serve per PKCS11 il cui provider implementa l'algoritmo di firma specifica per la chiave memorizzata nel dispositivo.
  100.             // Per gli altri tipi di keystore, nei quali tipicamente il provider è la SUN, non deve essere usata questa opzione altrimenti si ottiene l'errore:
  101.             //    no such algorithm: SHA256WITHRSA for provider SUN
  102.             // Per quei tipi di keystore devono essere usati i costruttori in cui viene usato bouncy castle 
  103.             // o il costruttore senza parametri relativi al provider, il quale utilizza quello il provider più corretto preente nella JVM.
  104.         }
  105.     }
  106.     
  107.     public byte[] sign(String data, String charsetName, String algorithm) throws UtilsException{
  108.         try{
  109.             return this.sign(data.getBytes(charsetName), algorithm);
  110.         }catch(Exception e){
  111.             throw new UtilsException(e.getMessage(),e);
  112.         }
  113.     }
  114.     
  115.     public byte[] sign(byte[] data, String algorithm) throws UtilsException{
  116.         try{
  117.             if(algorithm==null) {
  118.                 algorithm = DEFAULT_SIGNATURE_METHOD;
  119.             }
  120.             
  121.             List<X509CertificateHolder> certList = new ArrayList<>();
  122.             CMSTypedData msg = new CMSProcessableByteArray(data); // Data to sign

  124.             X509CertificateHolder cert = new X509CertificateHolder(this.certificate.getEncoded());
  125.             certList.add(cert); // Adding the X509 Certificate

  127.             Store<?> certs = new JcaCertStore(certList);

  129.             CMSSignedDataGenerator gen = new CMSSignedDataGenerator();
  130.             // Initializing the the BC's Signer
  131.             JcaContentSignerBuilder cs = new JcaContentSignerBuilder(algorithm);
  132.             if(this.provider!=null) {
  133.                 cs.setProvider(this.provider);
  134.             }
  135.             ContentSigner sha1Signer = cs.build(this.privateKey);

  137.             JcaDigestCalculatorProviderBuilder builder = new JcaDigestCalculatorProviderBuilder();
  138.             if(this.provider!=null) {
  139.                 builder.setProvider(this.provider);
  140.             }
  141.             gen.addSignerInfoGenerator(
  142.                     new JcaSignerInfoGeneratorBuilder(builder.build())
  143.                             .build(sha1Signer, cert));
  144.             // adding the certificate
  145.             gen.addCertificates(certs);
  146.             // Getting the signed data
  147.             CMSSignedData sigData = gen.generate(msg, true);

  149.             return sigData.getEncoded();
  150.             
  151.         }catch(Exception e){
  152.             throw new UtilsException(e.getMessage(),e);
  153.         }
  154.     }

  156. }
Created with JaCoCo 0.8.8.202204050719