Processo de certificação de software de gestão e código-exemplo em VB.NET (full .NET Fx & .NET CF)

Imports System.Security.Cryptography
Imports System.Text

Module Module1

    Sub Main()
        ' descomentar o vbCrLf caso se pretenda obter um hash comparável com o obtido com o openssl em Windows 

        Dim stringToHash As String = "2010-05-18;2010-05-18T11:22:19;FAC 001/14;3.12; " ' + vbCrLf 

        Using privatekey As RSACryptoServiceProvider = New RSACryptoServiceProvider

            Dim privateKeyXML As String = System.IO.File.ReadAllText("C:\Trabalho\OpenSSL-Win64\bin\MinhaChavePrivada.xml")

            privatekey.FromXmlString(privateKeyXML)

            Dim buffer As Byte() = Encoding.GetEncoding("Windows-1252").GetBytes(stringToHash)
            Dim signature As Byte() = privatekey.SignData(buffer, "SHA1")

            Console.WriteLine(Convert.ToBase64String(signature))
        End Using
    End Sub
End Module

Imports System.Security.Cryptography
Imports System.Text

Module Module1

    Sub Main()
        ' descomentar o vbCrLf caso se pretenda obter um hash comparável com o obtido com o openssl em Windows 

        Dim stringToHash As String = "2010-05-18;2010-05-18T11:22:19;FAC 001/14;3.12; " ' + vbCrLf 

        Using privatekey As RSACryptoServiceProvider = New RSACryptoServiceProvider
            Dim privateKeyXML As String = "..." ' carregar o xml da chave privada para esta string
            Dim xe As XElement
            xe = XElement.Load(privateKeyXML)

            Dim rsaP As RSAParameters = New RSAParameters() With {.Modulus = Convert.FromBase64String(xe.Element("Modulus").Value), _
                                                      .Exponent = Convert.FromBase64String(xe.Element("Exponent").Value), _
                                                      .P = Convert.FromBase64String(xe.Element("P").Value), _
                                                      .Q = Convert.FromBase64String(xe.Element("Q").Value), _
                                                      .DP = Convert.FromBase64String(xe.Element("DP").Value), _
                                                      .DQ = Convert.FromBase64String(xe.Element("DQ").Value), _
                                                      .InverseQ = Convert.FromBase64String(xe.Element("InverseQ").Value), _
                                                      .D = Convert.FromBase64String(xe.Element("D").Value)}
            privatekey.ImportParameters(rsaP)

            Dim buffer As Byte() = Encoding.GetEncoding("Windows-1252").GetBytes(stringToHash)
            Dim signature As Byte() = privatekey.SignData(buffer, "SHA1")

            Debug.WriteLine(Convert.ToBase64String(signature))
        End Using
    End Sub
End Module

Comments

# Alberto Silva said on September 8, 2010 11:45 AM:

Actualizei o artigo original para reflectir algumas contribuições de membro do Portugal a Programar

# joaofra said on September 10, 2010 10:11 AM:

Obrigado pelo exemplo que me ajudou bastante!

Seria igualmente interessante ter um exemplo do código para verificação.

# nn said on September 12, 2010 2:15 PM:

a linha de comandos está mal:

openssl dgst -sha1 -sign MinhaChavePrivada.pem string.txt| openssl enc -base64 –A

# Carlos said on September 20, 2010 8:50 AM:

Olá!

Alguem sabe o comando openssl para desencriptar?

E em Vb.net como desencriptar?

Obrigado

# Rui said on September 21, 2010 6:11 AM:

Este código ajudou bastante.

Será possível colocar uma versão para verificar se a assinatura está bem gerada?

Desde já obrigado

# Alberto Silva said on September 21, 2010 6:34 AM:

A questão da verificação é simples: a encriptação é tão fiável que de certeza que se mandarem encriptar a mesma string 10000x, vão receber sempre o mesmo resultado. Ou seja, se houver erros, é na forma como geraram a string que concatena os diferentes valores, o que não é detectável pelo algortimo de geração do hash.

# Joaquim Pais said on October 18, 2010 6:24 AM:

Olá Alberto

Não sei se já tens o teu software certificado, mas na string de exemplo que tens no final tens um espaço, tens de o tirar.

Abraço

Joaquim

# Alberto Silva said on October 18, 2010 7:12 PM:

Olá Joaquim,

Sim, já tinha lido sobre essa questão do espaço quando o documento é o primeiro da série, mas obrigado à mesma pelo alerta :)

Ainda não fomos chamados a ir demonstrar o processo, mas não deve tardar muito!

# Nuno said on October 20, 2010 6:09 AM:

Agradeço desde já o pedaço de código que é bastante esclarecedor. Acontece que existe tem um campo no ficheiro de saft que é o HashControl com o numero 4.1.4.4 , e quanto a isto ha mto pouca informação. Como se gera o campo "HashControl" chave de controlo? obrigado

# Alberto Silva said on October 20, 2010 8:41 AM:

Olá Nuno,

Esse hashcontrol é para ser preenchido com a tal assinatura/hash gerado pelo código e exibido em output, o Convert.ToBase64String(signature).

A portaria estabelece que passa a ter um comprimento de 200 caracteres.

# Alberto Silva said on October 21, 2010 5:11 AM:

Correcção à minha mensagem anterior.

De acordo com a redacção da Portaria 363/2010, o hash (4.1.4.3) é preenchido com a assinatura e o hashcontrol (4.1.4.4) com a versão do certificado utilizado:

"Artigo 8.º

Alteração à Portaria n.º 1192/2009

1 - A nota técnica do campo 4.1.4.3 da estrutura de dados constante do anexo à Portaria n.º 1192/2009,

de 8 de Outubro, passa a ter a seguinte redacção: «Assinatura nos termos da portaria que regulamenta a

certificação  dos  programas  informáticos  de  facturação.  O  campo  deve  ser  preenchido  com  '0'  (zero),

caso não haja obrigatoriedade de certificação.».  

2 - O formato do campo referido no número anterior passa a ser: «Texto 200».  

3  -  A  nota  técnica  do  campo  4.1.4.4  da  referida  estrutura  de  dados  passa  a  ter  a  seguinte  redacção:

«Versão da chave privada utilizada na criação da assinatura do campo 4.1.4.3».  "

# Fátima said on October 28, 2010 10:24 AM:

Alberto,

As aplicações dos PDA certificadas são obrigadas a gerar um ficheiro SAFT-PT?

# Alberto Silva said on October 28, 2010 10:48 AM:

Fátima,

Sim, cada aplicação é responsável pela emissão do ficheiro SAF-T dos documentos por si produzidos.

A nossa aplicação, moving2u m2uMobileSalesV3 e PrimaveraMobileBusinessV3, já está em curso de certificação e aguarda conclusão do processo, sendo agora capaz de emitir o seu proprio ficheiro SAF-T.

Uma coisa que sinceramente não sei, é nos casos em que a empresa que produz o software para PDA é a mesma que produz o sistema de gestão utilizado pela empresa, se a aplicação PDA tem de ser explicitamente certificada com um certificado próprio, ou se pode partilhar o certificado com o sistema de gestão e neste caso ser emitido um único ficheiro SAF-T.

# Pedro said on November 9, 2010 6:51 AM:

Viva,

Estamos neste momento no processo de certificação do nosso software mas estamos com um problema.

Ao validar o saft gerado na aplicação da DGCI é indicado que a penas o 1º documento de cada série é válido. Pensamos estar a seguir todas as regras:

2010-10-25;2010-10-25T22:39:24;173291 992010/1;192.00;

2010-10-25;2010-10-25T22:55:31;173292 992010/2;13.72;QL0zPtTOL5LgxM5h+hOIl1g8GHxR6LBftPQ2K/EDJqIu1ZHXApy7db6Dlyc1rCIaw7uXhUV9UnRa9w1285jhrvHdiJpmAGfiJiL4qeyeh9tziEudkLo9FVTG7du6C9qJh8EIq+9w/TOL91/XqeYVZB1E5WI76Gn9K48dtuvyzMg=

Este é um exemplo dos 2 primeiros registos.

Mais alguem ja teve este problema?

Cumprimentos

# Helder said on November 9, 2010 12:39 PM:

Boas com este modo de gerar hash quando vou validar com o Validador das finanças ele dis que

O ficheiro SAF-T tem 1 documentos comerciais para validar, dos quais 1 foram considerados inválidos. Os seguintes documentos não foram considerados validos de acordo com a chave publica fornecida:

Eu segui-me pelo teu tutorial ao gerar a hash, já tentas-te correr uma exportação com o validador das finanças?

# Alberto Silva said on November 9, 2010 1:34 PM:

Boas,

Eu utilizei o código que publiquei para a assinatura dos documentos na nossa aplicação .NET Compact Framework, e os ficheiros gerados passaram no validador de SAF-T e no de validação da geração do hash, tendo-os submetido à DGCI há duas semanas, e estando a aguardar a marcação da 'visita'.

Obviamente que os vários cenários por nós testados não passaram todos logo à primeira, mas não tive de mexer no método da assintatura.

Sei que não ter as definições regionais do PC onde se corre o validador definidas para o padrão de Portugal podem gerar erros desse tipo.

Pedro, verifica se na string do 1º documento tens algum espaço depois do último ; se tiver,remove-a e testa de novo.

Hélder, dá-te erro mesmo que esse documento seja o nº 1 da série?

# Ricardo Pires said on November 9, 2010 4:11 PM:

Viva,

No caso do exemplo indicado, o problema parece-me que estará na colocação do número (é o nº do documento ?) antes da indicação da série/nº dentro da série. Penso que deveria ser FT/FAC/NCre/etc consoante seja Factura ou outro tipo de documento. Poderá ter de ser algo do tipo:

2010-10-25;2010-10-25T22:39:24;FT 173291992010/1;192.00;

2010-10-25;2010-10-25T22:55:31;FT 173292992010/2;13.72;QL0zPtTOL5LgxM5h+hOIl1g8GHxR6LBftPQ2K/EDJqIu1ZHXApy7db6Dlyc1rCIaw7uXhUV9UnRa9w1285jhrvHdiJpmAGfiJiL4qeyeh9tziEudkLo9FVTG7du6C9qJh8EIq+9w/TOL91/XqeYVZB1E5WI76Gn9K48dtuvyzMg= (hash já não seria esta aqui indicada; limitei-me a a fazer copy/paste)

Cps

# Helder said on November 9, 2010 4:34 PM:

Sim da . olha tens algum exemplo que possa por aki no site para confirmar se e o meu programa que esta a gerar mal?

Tipo se poderes põe um exemplo de um saft com umas chaves testes assim da para verificar que e o meu algoritmo que esta a gerar mal , ou so as chaves e o texto e respectivo hash .

cumprimento

# joselito said on November 9, 2010 4:39 PM:

A string esta errada são dois tipos de documento diferentes 173291 e 173292

# Palma said on November 16, 2010 12:14 PM:

Pessoal, estou mesmo revirado com isto da certificação. Tenho a aplicação pronta a gerar o SAFT, mas ao validar com o programa da DGCI diz-me sempre que não consegue validar com a chave publica fornecida (já confirmei várias vezes que é a certa).

No ficheiro xml está a mesma chave que na BD. Se gerar a chave manualmente, dá-me uma igual à que está no xml. Se verificar manualmente, diz-me Verification OK.

Testes que efectuei:

-a aplicação cria um ficheiro txt com o que vai usar para gerar a chave e outro ficheiro com a chave criada (e esta chave que está na BD e no xml. confirmei)

-gerei um ficheiro bin a partir da chave gerada

-comparei com o -verify e com a minha chave publica e dá Verification OK

Meu ambiente: Win 7 Pro PT, VB 2005 Pro, openssl v1... Já mudei as opções regionais para usar o . como decimal mas não resulta.

Help precisa-se urgentemente.

Se alguém puder dar uma dica, fico eternamente grato. O meu obrigado antecipado.

Cumprimentos a todos e bom trabalho!

# Barbosa said on November 17, 2010 5:54 AM:

Viva.

Palma, eu também estou exactamente com o mesmo problema. Numa tentativa de despistar a origem do mesmo, tentei o seguinte: para além de gerar a chave no software, gerei manualmente (via linha de comandos) e o hash bate certo e é verificado correctamente. No entanto, se eu gerar o hash em Linux (debian), o hash gerado é diferente, apesar de, se eu fizer verificação, esta é validada com sucesso (obviamente que estou a usar as mesmas chaves num lado e noutro). Já experimentei validar inclusive o ficheiro SAFT com os hashes gerados numa máquina e na outra, mas sempre sem sucesso.

Por tudo isto, suspeito que eu esteja a ter algum problema com os encodings, mas não consigo descortinar onde.

Alguma sugestão?

# Barbosa said on November 17, 2010 8:34 AM:

Palma,

Já descobri onde estava o meu erro. O software de validação do DGCI não valida o SAFT se o sistema estiver com '.' no separador decimal e ',' no agrupamento de milhares, mas sim o contrário. Portanto, para a validação ser "correcta", isso deverá ser invertido (',' para separação decimal e '.' para agrupamento de milhares).

Descobri isto após ter tentado validar o XML que está em info.portaldasfinancas.gov.pt/.../CertificacaoSoftware.htm e o validador ter validado apenas 2 dos 10 documentos.

Espero que isto ajude.

Cumprimentos

# Jose said on November 18, 2010 4:47 PM:

Quanto aos valores nao se utiliza a virgula nos milhares apenas o . no separador decimal, atenção.

ex: 25 mil euros e 50 centimos seria 25000.50 e nao 25,000.00.

# Francisco Martinez said on December 17, 2010 9:30 AM:

Bom Dia, eu tenho o código e sempre me mostra erro na chave pública do SAFT-PT Validator, mas se eu enviar os arquivos hash com a chave privada demo de tal programa é perfeitamente válido. Alguém tem isso aconteceu? Eu criei as chaves privadas e públicas usando OpenSSL

Obridago

# Alberto Silva said on December 17, 2010 12:28 PM:

Olá Francisco,

Tal como foi referido aqui e no fórum do Portugal a Programar, as definições regionais do PC onde corres o validador influenciam o resultado.

# Tiago Moreira said on January 10, 2011 3:06 AM:

Viva,

Estou a implementar a certificação e estou com um problema na verificação com o Validador.

O hash que o Openssl gera é exactamente igual ao que está no SAFT, no entanto diz sempre "Os seguintes documentos não foram considerados válidos de acordo com a chave pública fornecida".

No entanto por cmd dá Verified OK.

Já verifiquei as definições da Região, mas continua igual, alguma sugestão como resolver o problema?

# EU said on February 17, 2011 7:48 AM:

Porque é que há difrenças na geração de HASH na documentação fornecida pela DGCI:

1º Se utilizar os comandos fornecidos no PDF especificação das regras técnics ( echo "2010-05-18;2010-05-18T11:22:19;FAC 001/14;3.12; " | openssl dgst -sha1 -sign ChavePrivada.pem | openssl enc -base64 ) devolve o hash ( Am1K5+CP4LDNVDZYvcLYGpnu8/1b+WWkzgoe8sbZhvk6QFzFvNN77Zsq+cHNm52jCVSEDgWLGHgPS1wcT8ZG7w6KgVq+2/VgOU+xKNt0lcC3gouyarZvcZpZclIReDgLh6m3nv8DYYHKAOQc+eCi/BQ4LqUnuJrca+7emgb/kpU= )

2º Se utilizarmos os dados contidos no exemplo do SAFT-T fornecido pela DGCI ( echo "2008-03-10;2008-03-10T15:58:00;FT 1/1;28.07; " | openssl dgst -sha1 -sign ChavePrivada.pem | openssl enc -base64 ) devolve o hash ( ifumkypK+Q/7JEtZxRZHNqmVkMm3sYIU5K9VcXdqR1DETnefdmQ/1q0ufl9qk5TQ

5IO0LVjdNXFCV2kx3nb2vmsBdWfLT5h4HjKFPHp0T4pxedaWdC2arA4fa0wZpd/B

zfXfkvpH/sGMYpWEpDhPtCu2DYvGrMb0c2Tu6SqInIs= ) em vez do hash que se encobtra no saft que é ( F8952fjEClltx2tF9m6/QTFynFjSuiboMslNZ1ag9oR5iIivgYYa0cNa0wJeWXlsf8QQVHUol303hp7XmIy5/kFOiV0Cv8QH6SF0Q5zNsDtpeFh2ZJ256y0DkJMSQqCq3oSka+9zIXXRkXgEsSv6VScCYv8VTlIcGjsablpR6A4= )

Agradeço que me ajudem a esclarecer esta diferença de dados fornecida pela DGCI.

Desde já cumprimentos a todos eobrigado pela atenção dispensada.

# Alberto Silva said on February 18, 2011 5:28 AM:

'EU',

Do que vi, há várias coisas que influenciam o hash gerado. No entanto, eu não perderia tempo com o teste pelo openssl... porque não confrontar directamente o output do algoritmo da aplicação com o do validador de SAF-T?

# rui said on April 7, 2011 11:24 AM:

ola todos

fantastico , funcionou ah primeira :)

# MC said on June 11, 2011 12:39 PM:

Usei os exemplos para gerar as chaves mas mesmo assim continuo com o problema na validação do hash no validador da DGCI. Testei o hash da minha aplicação com o do openssl e é igual. Estou a usar vb.net e uso o exemplo do código que tens no teu blog para gerar a assinatura do documento. A estrutura do saft dá-me como valida mas diz-me que alguns documentos não são validos de acordo com a chave publica fornecida. Se for possivel dar uma ajuda ou dica para resolver a situação agradeço.

Obrigado

# Alberto Silva said on June 13, 2011 9:48 AM:

@MC,

As definições regionais do PC onde se corre o validador influenciam o resultado da validação, é a única situação que me lembro que possa influenciar o resultado dado que estamos a usar 'precisamente' este código na nossa aplicação.

# João Carlos said on July 7, 2011 2:35 PM:

Olá,

Já procedi à certificação do software e funciona bem, agora precisei por motivos que não interessam de receber dados via web-service e certificar um documento, tenho o seguinte, tal como no windows forms

RSACryptoServiceProvider rsaPrivate = new RSACryptoServiceProvider(new CspParameters());

                   rsaPrivate.FromXmlString("string XML");

                   SHA1 sha1 = SHA1.Create();

                   byte[] rawSecret = Encoding.UTF8.GetBytes(Text);

                   byte[] signedSecretData = rsaPrivate.SignData(rawSecret, SHA1.Create());

                   string final= Convert.ToBase64String(signedSecretData);

NO windows forms certifica bem, aqui no web service dá excepção na linha do FromXmlString("")  ((System.Security.Cryptography.CryptographicException)(ex1))

{"O sistema não conseguiu localizar o ficheiro especificado.\r\n"}

Que ficheiro é que possa faltar aqui, será bug da framework 2.0

Obrigado

João

# João Carlos said on July 7, 2011 2:46 PM:

Resolvido, Nada como uma pesquisa melhorada no Google

faltava passar o parâmetro no construtor RSACryptoServiceProvider

CspParameters CSPParam = new CspParameters();

                   CSPParam.Flags = CspProviderFlags.UseMachineKeyStore;

social.msdn.microsoft.com/.../7ea48fd0-8d6b-43ed-b272-1a0249ae490f

Obrigado e peço desculpa por não ter feito grandes pesquisa antes ;)

# FuriousAngel said on September 1, 2011 8:25 AM:

Ola, era so para agradecer este blog e todos os q ajudaram a simplificar o dito cujo certificado o "PAP" tambem.

Novamente Obrigado. :)

FuriousAngelPT

# José Martins said on September 21, 2011 4:37 AM:

Bom dia.

A minha dúvida é algo mais básico do que tudo isto, mas é algo que não estou a perceber...

Foi-me pedido para desenvolver um software de facturação com a exportação para SAFT-PT mas... As chaves, são me dadas pelas finanças? Sou eu que "invento" uma para gerar a outra?

Obrigado,

José Martins

# Alberto Silva said on September 22, 2011 10:00 AM:

Boas José,

Os links para os fóruns do Portugal a Programar incluem mais detalhes sobre o processo, bem como para a página oficial da DGCI dedicada ao tema:

info.portaldasfinancas.gov.pt/.../CertificacaoSoftware.htm

# FuriousAngel said on December 28, 2011 5:44 PM:

Boas novamente, espero ainda haver pessoas para ajudar. Pelos vistos nao esta bem o q fiz. utilizado o exemplo em cima e a linha de comando da resultados dão diferentes mas esta tudo direito.

Alguem ainda me pode ajudar?

Obrigado,

FuriousAngel

# Alberto Silva said on December 29, 2011 5:21 AM:

Boas,

Sugiro que uses o fórum do Portugal-a-Programar para veres se alguém teve um problema idêntico e colocares a questão se necessário:

www.portugal-a-programar.org/.../index.php

Penso que obterás respostas mais rapidamente.

# FuriousAngel said on December 29, 2011 9:56 AM:

.....

Ja vi onde esta o gato. em vez de enviar a HASH toda estava a enviar so os 4 caracteres q aparece no modelo de impressão. Devo ter alterado isso para testar algo e depois esqueci de alterar. :S

Já funciona e ja enviei os dados para as finanças. Wish me luck.  

e obrigado na mesma por toda esta ajuda q meteram aqui.

Furious Angel (a little less furious)

Leave a Comment

Name:
Website:

Remember Me?

Enter the numbers above: