Firma Electronica con OpenSSL

[JCz]

Cita:

Empezado por CrazySoft

Buenas noches, tengo un un problema con la firma digital para la facturación electrónica en linea, no entiendo a que parte del XML se refiere en el punto 6 del proceso de firmado https://siatinfo.impuestos.gob.bo/in.../firma-digital, genero la factura en XML hago el proceso de canonicalización del XML (c14n), tengo la llave privada y publica generada con OpenSSL a partir del certificado que me otorgan, no se de donde o en que parte esta la sección de la firma o a que se refiere


Este es el error que me devuelve al enviar la factura

Código:

<mensajesList>
    <codigo>921</codigo>
       <descripcion>EL FIRMADO DEL XML ES INCORRECTO: Validacion Signature,  false,</descripcion>
</mensajesList>

Muchas gracias por su colaboración de antemano



Proceso de Firmado
A efectos de poder firmar un documento, es necesario disponer de una llave pública y una privada; tener implementado algoritmos de conversión a Base 64, canonicalización, SHA256 y RSA Sha256 V2 y seguir los siguientes pasos:

• Aplicar el algoritmo de canonicalización al documento XML, es decir realizar un procesamiento que permita obtener su forma canónica o se normalice el documento original.
• Aplicara al resultado el algoritmo sha256 a objeto de obtener el HASH.
• Obtener una cadena aplicando al anterior HASH el algoritmo Base64.
• Adicionar las etiquetas de signature al XML.
• Agregar a la etiqueta Digest Value el valor obtenido en el paso 4.
• Tomar la sección de la firma y obtener un HASH del mismo aplicando el algoritmo SHA256.
• Encriptar el HASH obtenido utilizando el algoritmo RSA SHA256 con la llave privada.
• Aplicar a la cadena resultante el algoritmo Base64 para obtener una cadena.
• Adicionar a la etiqueta de Signature Value la cadena anterior.
• Finalmente colocar en la etiqueta X509 Certificate la llave publica.
• Devolver el XML firmado.

Si deseas firmar si o si con OpenSSL puedes mirar el proyecto https://projetoacbr.com.br/, allí lo tienen implementado y es open source ; en todo caso puedes adquirir la la librería de Chilkat y te "ahorras" toda la codificación; en todo caso están también las Secure Black Box https://www.nsoftware.com/sbb/.

Saludos.

[CrazySoft]

Cita:

Empezado por JCz

Si deseas firmar si o si con OpenSSL puedes mirar el proyecto https://projetoacbr.com.br/, allí lo tienen implementado y es open source ; en todo caso puedes adquirir la la librería de Chilkat y te "ahorras" toda la codificación; en todo caso están también las Secure Black Box https://www.nsoftware.com/sbb/.

Saludos.

Muchas gracias JCz, no es obligatorio lo del OpenSSL pero me parece la mejor opción, baje el ejemplo de proyectoacbr, y esta bien tiene toda la implementación de OpenSSL, también intente con las librerías DLL de Chilkat, pero no logre firmar o me falta implementar algunas cosas más en el envió, aun no provee Secure Black Box

[JCz]

Cita:

Empezado por CrazySoft

Muchas gracias JCz, no es obligatorio lo del OpenSSL pero me parece la mejor opción, baje el ejemplo de proyectoacbr, y esta bien tiene toda la implementación de OpenSSL, también intente con las librerías DLL de Chilkat, pero no logre firmar o me falta implementar algunas cosas más en el envió, aun no provee Secure Black Box

La web de Chilkat tiene incluso un generador de código, https://tools.chilkat.io/xmlDsigGen, allí puedes colocar un XML válido y te genera la codificación en el lenguaje que elijas usando claro su librería.

Espero te sirva de ayuda.

[CrazySoft]

Cita:

Empezado por JCz

La web de Chilkat tiene incluso un generador de código, https://tools.chilkat.io/xmlDsigGen, allí puedes colocar un XML válido y te genera la codificación en el lenguaje que elijas usando claro su librería.

Espero te sirva de ayuda.

Muchas gracias lo estoy probando en este momento

[CrazySoft]

Estimado JCz, no dio, genere el código con Chilkat, todo va bien mando mi factura generada en XML, comienza el proceso hasta el momento que realiza la firma, hay sale "Failed" y termina no hay más información, tampoco encuentro soporte

[CrazySoft]

Volviendo con lo que estoy realizando, no se que parte es la "sección de la firma" si es todo lo que esta en Signature, solo DigestValue o que fragmento es el que debo utilizar para hacer el firmado RSA+SHA26+Base64 con la llave privada y poner en SignatureValue o que es lo que tengo que procesar

Código PHP:

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"></CanonicalizationMethod>
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"></SignatureMethod>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"></Transform>
<Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"></Transform>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"></DigestMethod>
<DigestValue>HUKJKaSHPI3NV2HqiiL1Ws1bkqQ/sCBbdz1LSlw+q04=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>k6bvvmXOR....</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>
 MIIHlDCCBXygAwIBAgIIUqZ2b6ju ...</X509Certificate> </X509Data>
</KeyInfo>
</Signature> 


[oloconer]

Vamos paso a paso: ¿Como obtuviste este valor?

Cita:

<DigestValue>HUKJKaSHPI3NV2HqiiL1Ws1bkqQ/sCBbdz1LSlw+q04=</DigestValue>

Relata para ver si te sigo el paso y avanzar

[CrazySoft]

Cita:

Empezado por JCz

La web de Chilkat tiene incluso un generador de código, https://tools.chilkat.io/xmlDsigGen, allí puedes colocar un XML válido y te genera la codificación en el lenguaje que elijas usando claro su librería.

Espero te sirva de ayuda.

Gracias JCz, logre generar el XML de la factura firmada con Chilkat, pero me rechaza al momento que la envió "EL FIRMADO DEL XML ES INCORRECTO: Validación Signature, false"

es el mismo error que me da cuando genero manualmente la firma con el openssl


saludos

[JCz]

Cita:

Empezado por CrazySoft

Gracias JCz, logre generar el XML de la factura firmada con Chilkat, pero me rechaza al momento que la envió "EL FIRMADO DEL XML ES INCORRECTO: Validación Signature, false"

es el mismo error que me da cuando genero manualmente la firma con el openssl


saludos

Es posible que puedas pasar un XML válido, que haya sido aprobado por el SIAT? También el xml que lo generas.

[CrazySoft]

Cita:

Empezado por JCz

Es posible que puedas pasar un XML válido, que haya sido aprobado por el SIAT? También el xml que lo generas.

Gracias JCz, al final logre firmar con Chilkat aumentado unos parámetros en CkXmlDSigGen_putBehaviors(gen, 'IndentedSignature,AttributeSortingBug,EnvelopedTransformFirst'), pero no se porque tenga que ponerlos así, pero al final funciono, sin eso no daba


de todos modos adjunto los 2 archivos uno valido y el otro con error antes del cambio, pero debería poderse firmar con openssl o tal vez mi error este en la canonicalización, porque la factura en XML la canonicalizo a C14N con otra herramienta libxml2 que tal vez deba poner algún parámetro

[JCz]

Cita:

Empezado por CrazySoft

Gracias JCz, al final logre firmar con Chilkat aumentado unos parámetros en CkXmlDSigGen_putBehaviors(gen, 'IndentedSignature,AttributeSortingBug,EnvelopedTransformFirst'), pero no se porque tenga que ponerlos así, pero al final funciono, sin eso no daba


de todos modos adjunto los 2 archivos uno valido y el otro con error antes del cambio, pero debería poderse firmar con openssl o tal vez mi error este en la canonicalización, porque la factura en XML la canonicalizo a C14N con otra herramienta libxml2 que tal vez deba poner algún parámetro

Segun la documentación del Chilkat el parámetro agregado EnvelopedTransformFirst (Obliga a la http://www.w3.org/2000/09/xmldsig#enveloped-signature a aparecer en primer lugar cuando hay varias transformaciones para una referencia.)

En la que rechaza lo tienes

Código PHP:

<Transforms>
        <Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/>
        <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
      </Transforms>