BOOL WINAPI CPVerifySignature( HCRYPTPROV hProv, HCRYPTHASH hHash, CONST BYTE * pbSignature, DWORD dwSigLen, HCRYPTKEY hPubKey, LPCWSTR sDescription, DWORD dwFlags );
Аргументы
- hProv
- [in] Дескриптор криптопровайдера. Получается при помощи функции CPAcquireContext().
- hHash
- [in] Дескриптор объекта функции хэширования, подпись которого проверяется.
Для хэш с алгоритмами CALG_MD5, CALG_SHA1, CALG_SHA_256, CALG_SHA_384, CALG_SHA_512 функция имеет неопределённое поведение. - pbSignature
- [in] Указатель на буфер, содержащий значение проверяемой подписи.
- dwSigLen
- [in] Длина (в байтах) значения подписи.
- hPubKey
- [in] Дескриптор открытого ключа проверяемой подписи.
- sDescription
- [in] Описание подписанных данных идентичное описанию, использованному при создании подписи. Это должна быть точно та же самая последовательность, которая использовалась в функции CPSignHash() при создании подписи. Если эта последовательность не соответствует использованной в функции CPSignHash(), проверка подписи сообщит, что подпись не верна.
- dwFlags
- [in] Значения флагов. Параметр зарезервирован для будущего использования и должен быть нулевым.
Возвращаемые значения
При успешном завершении функция возвращает TRUE, в противном случае возвращается FALSE. Если возвращается FALSE, соответствующий код ошибки (см. таблицу) может быть получен через функцию GetLastError.| Коды возврата | Описание |
|---|---|
| ERROR_INVALID_PARAMETER | Один из параметров содержит некорректное значение. Чаще всего это некорректный указатель. |
| NTE_BAD_ALGID | Дескриптор hHash определяет алгоритм, который этот криптопровайдер не поддерживает. |
| NTE_BAD_FLAGS | dwFlags параметр отличен от нуля. |
| NTE_BAD_KEY | hPubKey параметр содержит дескриптор на недопустимый открытый ключ. |
| NTE_BAD_HASH | Дескриптор хэша ошибочен. |
| NTE_BAD_SIGNATURE | Проверка подписи не прошла (могли измениться подписанные данные, или значение подписи, открытый ключ был определён ошибочно параметром hPubKey). Эта ошибка может быть возвращена также, если алгоритмы хэширования или подписи не соответствуют тем, с помощью которых вычислялась подпись. |
| NTE_NO_MEMORY | Криптопровайдер во время операции исчерпал память. |
| NTE_FAIL | Нарушение целостности ключей в ОЗУ. |
| RPE_CORRUPT_KEYPAIR_INFO | Нарушение целостности ключей. |
| SCARD_E_NO_KEY_CONTAINER | Контекст открыт с флагом CRYPT_DEFAULT_CONTAINER_OPTIONAL, и не связан ни с одним контейнером, поэтому выполнение данной операции недоступно. |
Примечания
Функция CPVerifySignature выполняет следующие внутренние шаги:
- если параметр описания sDescription поддержан, он добавляется к объекту функции хэширования;
- объект функции хэширования "закрывается" и значение функции хэширования извлекается;
- значение функции хэширования дополняется, как это требуется алгоритмом подписи;
- осуществляется проверка подписи c использованием открытого ключа hPubKey;
- если подпись, переданная через буфер pbSignature, и вычисленное значение подписи не совпадают, возвращается код ошибки NTE_BAD_SIGNATURE.
После того, как объект функции хэширования подписан, приложение не может добавлять к нему новые данные. Поэтому вызовы функций CPHashData() или CPHashSessionKey() приведут к ошибке. Однако, дополнительные вызовы функций CPDeriveKey(), CPGetHashParam(), CPSignHash() и CPVerifySignature() будут успешными. Эти функции будут работать с подписанным объектом функции хэширования. Приложение должно удалить объект функции хэширования при помощи функции CPDestroyHash().
При использовании ключей алгоритма ГОСТ Р 34.10-2001 для проверки электронной подписи необходимо использовать алгоритм хэширования ГОСТ Р 34.11-94.
При использовании ключей алгоритма ГОСТ Р 34.10-2012 длины 256 бит для проверки электронной подписи необходимо использовать алгоритм хэширования ГОСТ Р 34.11-2012 (256 бит).
При использовании ключей алгоритма ГОСТ Р 34.10-2012 длины 512 бит для проверки электронной подписи необходимо использовать алгоритм хэширования ГОСТ Р 34.11-2012 (512 бит).
Использование алгоритмов CALG_MD5, CALG_SHA_256, CALG_SHA_384, CALG_SHA_512 не входит в функционал СКЗИ "КриптоПро CSP 5.0", относящийся к действию сертификата ФСБ.
При необходимости проверки нескольких подписей на одном ключе можно добиться увеличения производительности за счет многопоточной работы. Для этого необходимо выполнить импорт открытого ключа с указанием флага CP_PUBKEY_REUSABLE, после чего можно вызывать функцию CPVerifySignature() многопоточно с флагом CP_CRYPT_NOKEYWLOCK.
... // делаем импорт открытого ключа с флагом CP_PUBKEY_REUSABLE CPImportKey(hProv, cdbKey.pbData, cdbKey.cbData, 0, CP_PUBKEY_REUSABLE, &hPubKey); // проверяем подпись многопоточно (блокирует ключ на чтение) CPVerifySignature(hProv, hHash, cdbSign.pbData, cdbSign.cbData, hPubKey, NULL, CP_CRYPT_NOKEYWLOCK); ...Кроме того организация многопоточной работы функции CPVerifySignature() возможна в следующих случаях:
- проверка происходит на ключе, который был предварительно размножен с использованием функции CPDuplicateKey();
- проверка происходит на закрытом ключе из контейнера версии 4;
- проверка происходит на закрытом ключе из контейнера, содержащего сертификат с открытым ключом;
- проверка происходит на ключе, который был предварительно прогружен однопоточным вызовом CPVerifySignature() без указания флага CP_CRYPT_NOKEYWLOCK.
Требования:
AIX: 6/7.
FreeBSD: 11/12, pfSense 2.x.
Linux: LSB 4.x (RHEL 5/6/7/8, SuSE 11SP4/12/15, Oracle Linux 5/6/7/8, CentOS 6/7/8, Ubuntu 14.04/16.04/18.04/19.10, Linux Mint 18/19, Fedora 28/29/30/31, Debian 8/9/10 и др.).
Solaris: 10/11.
Mac OS X: 10.9/10.10/10.11/10.12/10.13/10.14/10.15.
iOS: 8/9/10/11/12/13.
Sailfish: 2/3.
Windows: 7/8/8.1/10, Server 2008/2008R2/2012/2012R2/2016/2019.
Файл описания: Прототип описан в файле wincsp.h.
Ядро ОС: Вместо неё используется аналогичная функция CPCVerifySignature .
См. также
CPCreateHash() ,CPHashData() ,CPSignHash() ,CPVerifySignature в MS CSP 
,CryptVerifySignature в MS CryptoAPI 2.0