Firmar con AutoFirma y fichero PFX

[razorxxx]

Cita:

Empezado por delphiGar

El hash que te he puesto es el correcto, el otro que pones no es correcto es sha1 y no sha256, ademas con el digestvalue que te indica.

Mira las especificaciones de firma y lo veras.

Código:

https://www.agenciatributaria.es/static_files/AEAT_Desarrolladores/EEDD/IVA/VERI-FACTU/Espec-Tecnicas/EspecTecGenerFirmaElectRfact_BORRADOR.pdf

Te dejo un archivo valido firmado, lo puedes comprobar en la red.sara

Me temo que es al revés compañero. En el archivo ejemplo que mandas estás especificando que el algoritmo a usar para la política de firma es SHA1, y no SHA-256: <dsigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>. Y el DigestValue es G7roucf600+f03r/o0bAOQ6WAs0=, que viene a ser el hash SHA-1 de la política de firma.

Si uso tu propuesta sí me funciona. Pero ¿qué pasa si quiero aplicar el sha-256 como aparece en el ejemplo de archivo firmado proporcionado por la AEAT? ¿Cómo se calcula el sha-256 de la política de firma? Porque si uso el proporcionado en el fichero de ejemplo de la AEAT, al validarlo en valide.redsara.es me da el error de "El hash de la política incluido en la firma no coincide con el hash real de la política de firma".

[delphiGar]

Cita:

Empezado por razorxxx

Me temo que es al revés compañero. En el archivo ejemplo que mandas estás especificando que el algoritmo a usar para la política de firma es SHA1, y no SHA-256: <dsigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>. Y el DigestValue es G7roucf600+f03r/o0bAOQ6WAs0=, que viene a ser el hash SHA-1 de la política de firma.

Si uso tu propuesta sí me funciona. Pero ¿qué pasa si quiero aplicar el sha-256 como aparece en el ejemplo de archivo firmado proporcionado por la AEAT? ¿Cómo se calcula el sha-256 de la política de firma? Porque si uso el proporcionado en el fichero de ejemplo de la AEAT, al validarlo en valide.redsara.es me da el error de "El hash de la política incluido en la firma no coincide con el hash real de la política de firma".

Compañero, fijate bien que en el ejemplo viene lo que te digo, y no es al reves como tu dices, es sha1

[delphiGar]

El ejemplo me refiero al de la Aeat no al mio, veras que es sha1

[delphiGar]

Para hacerlo con SHA256 debes saber el DisgestValue correspondiente, el que pones de 256 no es valido, ya lo comprobe anteriormente cuando salio el documento, pero despues lo cambiaron a SHA1

[delphiGar]

Aunque yo no utilizo Autofirma para firmar los ficheros.

El codigo correcto para autofrima seria este:

Código:

AutoFirmaCommandLine.exe sign -i "c:\envio_firmado.xml" -o "c:\envio_firmado_a.xsig" -format xades -config "format=XAdES Enveloped \nincludeOnlySignningCertificate=true \npolicyIdentifier=urn:oid:2.16.724.1.3.1.1.2.1.9 \npolicyIdentifierHash=G7roucf600+f03r/o0bAOQ6WAs0= \npolicyIdentifierHashAlgorithm=http://www.w3.org/2000/09/xmldsig#sha1 \npolicyQualifier=https://sede.administracion.gob.es/politica_de_firma_anexo_1.pdf" -store auto -certgui

[bmfranky]

Cita:

Empezado por delphiGar

Aunque yo no utilizo Autofirma para firmar los ficheros.

El codigo correcto para autofrima seria este:

Código:

AutoFirmaCommandLine.exe sign -i "c:\envio_firmado.xml" -o "c:\envio_firmado_a.xsig" -format xades -config "format=XAdES Enveloped \nincludeOnlySignningCertificate=true \npolicyIdentifier=urn:oid:2.16.724.1.3.1.1.2.1.9 \npolicyIdentifierHash=G7roucf600+f03r/o0bAOQ6WAs0= \npolicyIdentifierHashAlgorithm=http://www.w3.org/2000/09/xmldsig#sha1 \npolicyQualifier=https://sede.administracion.gob.es/politica_de_firma_anexo_1.pdf" -store auto -certgui

Hola, con que firmas los ficheros??, alguna funcion en Delphi o asi?

[delphiGar]

Cita:

Empezado por bmfranky

Hola, con que firmas los ficheros??, alguna funcion en Delphi o asi?

Yo utilizo SecureBlackBox.

[razorxxx]

Cita:

Empezado por bmfranky

Hola, con que firmas los ficheros??, alguna funcion en Delphi o asi?

Yo creo que, si sirve, usaré AutoFirma, siendo una aplicación estatal supongo que la mantendrán compatible con los sistemas de la administración. Siempre soy reacio a usar componentes no nativos porque basta que un día actualices a un Delphi más moderno y dejan de funcionar.

Además, tengo una función que me devuelve la salida de un comando de consola sin mostrarla, no necesito abrir una ventana de msdos o terminal para obtener el resultado.

[razorxxx]

Cita:

Empezado por delphiGar

El ejemplo me refiero al de la Aeat no al mio, veras que es sha1

Adjunto captura del PDF donde dicen que el algoritmo de política de firma debe ser SHA-256. Así mismo, pueden descargar el ejemplo de fichero firmado desde aquí: https://www.agenciatributaria.es/sta...rmaRegFact.zip

No veo rastro de SHA-1 en las especificaciones...

[delphiGar]

Cita:

Empezado por razorxxx

Adjunto captura del PDF donde dicen que el algoritmo de política de firma debe ser SHA-256. Así mismo, pueden descargar el ejemplo de fichero firmado desde aquí: https://www.agenciatributaria.es/sta...rmaRegFact.zip

No veo rastro de SHA-1 en las especificaciones...

En las especificaciones pone eso, pero en la practica es SHA1 ( Supongo que lo corregiran ).
En el fichero de ejemplo fijate bien que viene SHA1, vuelve a descargatelo.
En la anterior descarga venia como ya te he dicho anteriormente SHA256, pero el DigestValue incluido no es correcto.

Por cierto el SHA1 es para la politica de firmas no para el documento que si es SHA256, veo que indicas en el documento los dos y no tiene nada que ver, una cosa es el hash de politica de firma y otra el documento que si tiene que ser minimo SHA256.

[razorxxx]

Cita:

Empezado por delphiGar

En las especificaciones pone eso, pero en la practica es SHA1 ( Supongo que lo corregiran ).
En el fichero de ejemplo fijate bien que viene SHA1, vuelve a descargatelo.
En la anterior descarga venia como ya te he dicho anteriormente SHA256, pero el DigestValue incluido no es correcto.

Por cierto el SHA1 es para la politica de firmas no para el documento que si es SHA256, veo que indicas en el documento los dos y no tiene nada que ver, una cosa es el hash de politica de firma y otra el documento que si tiene que ser minimo SHA256.

Pues tiene usted razón, han cambiado el fichero firmado y ni siquiera avisaron. Les enviaré un mail a ver qué dicen, si nos quedamos en sha-1 o en sha-256.

[delphiGar]

Cita:

Empezado por razorxxx

Pues tiene usted razón, han cambiado el fichero firmado y ni siquiera avisaron. Les enviaré un mail a ver qué dicen, si nos quedamos en sha-1 o en sha-256.

Para el SHA256 tienen que poner el DigestValue correcto, el que hay como ya te comente no es valido, por eso cuando lo validas te dice que no reconoce la firma.

Cualquier cosa que te comente nos dices, sino les hago yo la pregunta.