Mixed CSP certificate collection

Question

Mixed CSP certificate collection

Bykiev opened this issue a year ago · comments

Здравствуйте, при поиске сертификата иногда возникает следующая ошибка:

CoreCLR Version: 6.0.1623.17311
.NET Version: 6.0.16
Description: The process was terminated due to an unhandled exception.
Exception Info: System.InvalidOperationException: Mixed CSP certificate collection.
   at LibCore.Security.Cryptography.X509Certificates.Detours.Pal.StorePalDetour.PatchFindFromCollection.Prefix(X509Certificate2Collection coll, X509FindType findType, Object findValue, Boolean validOnly, Object& __result)
   at Internal.Cryptography.Pal.FindPal.FindFromCollection_Patch1(X509Certificate2Collection coll, X509FindType findType, Object findValue, Boolean validOnly)
   at System.Security.Cryptography.X509Certificates.X509Certificate2Collection.Find(X509FindType findType, Object findValue, Boolean validOnly)

Windows Server 2019
CryptoPro CSP 5.0.12600

Fasjeit · Answer 1 · Wed Jul 26 2023 21:44:30 GMT+0800 (China Standard Time)

Добрый день.

Данная ошибка возникает про поиске сертификата по коллекции, если в коллекции находятся одновременно сертификаты ГОСТ и RSA\DSA. При этом в случает работы с хранилищем данная ошибка не ожидается.

Можете поподробнее сообщить о сценарии, в котором выполняется данный поиск (откуда приходит коллекция для поиска, что делает вызывающий её код)? Используется последняя версия Libcore?

Andrey Bykiev · Answer 2 · Wed Jul 26 2023 21:50:33 GMT+0800 (China Standard Time)

Здравствуйте, используется поиск по отпечатку в хранилище Личное Локального компьютера. Libcore последней версии 2023.5.30.1

var store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);
var results = store.Certificates.Find(X509FindType.FindByThumbprint, thumbPrint, false);

Fasjeit · Answer 3 · Wed Jul 26 2023 21:57:12 GMT+0800 (China Standard Time)

Не используется ли сертификаты из инициализированного хранилища перед поиском?

Т.е. нет ли сценария, когда из коллекции производится поиск сертификата, он как либо используется (в том числе просто просматривая свойства в отладчике), затем опять производится поиск в этом же (без повторного создания объекта хранилища)?

Ошибка на фиксированной машине с фиксированным набором сертификатов воспроизводится постоянно?

Andrey Bykiev · Answer 4 · Wed Jul 26 2023 22:01:04 GMT+0800 (China Standard Time)

Нет

Не используется ли сертификаты из инициализированного хранилища перед поиском?

Т.е. нет ли сценария, когда из коллекции производится поиск сертификата, он как либо используется (в том числе просто просматривая свойства в отладчике), затем опять производится поиск в этом же (без повторного создания объекта хранилища)?

Такого сценария нет.

Ошибка на фиксированной машине с фиксированным набором сертификатов воспроизводится постоянно?

Ошибка возникает редко, в большинстве случаев все работает корректно

Fasjeit · Answer 5 · Wed Jul 26 2023 22:05:58 GMT+0800 (China Standard Time)

Постараюсь в ближайшее время подробнее посмотреть код.

Как только будет сборка для тестов - отпишусь тут.

Fasjeit · Answer 6 · Wed Jul 26 2023 23:08:27 GMT+0800 (China Standard Time)

Сборка для тестов по ссылке:
https://file.cryptopro.ru/f/WD8vBvNgqkGN8QyvybqDFLjxplBxtdn5/LibCore.Windows.2023.7.26.1.nupkg

Всё ещё не понятно, как воспроизводится, но сценарий смешанной коллекции с инициализированным ключом ГОСТа поддержали для win.

Andrey Bykiev · Answer 7 · Wed Jul 26 2023 23:51:19 GMT+0800 (China Standard Time)

Спасибо, будем тестировать!

Andrey Bykiev · Answer 8 · Thu Jul 27 2023 14:05:41 GMT+0800 (China Standard Time)

Здравствуйте, тестировали поиском сертификата по отпечатку в цикле, в новой версии ошибка не воспроизводится. На старой версии проблема воспроизводится только на сервере, локально повторить не удалось

Fasjeit · Answer 9 · Thu Jul 27 2023 14:23:46 GMT+0800 (China Standard Time)

Отлично. Спасибо.

В "лабораторном" сценарии для детерминированного воспроизведения можно сделать что то такое:

using (var gostCert = GetGostCertificate())
using (var rsaCert = GetRsaCertificate())
{
    // трогаем закрытый ключ и заставляем его инициализироваться
    var gostKey = gostCert.PrivateKey;

    var collection = new X509Certificate2Collection(
        new X509Certificate2[] { rsaCert, gostCert });

    var resultGost = collection.Find(X509FindType.FindBySubjectName, "G2012512", false);

    var resultRsa = collection.Find(X509FindType.FindBySubjectName, "rsa_test", false);
}

Andrey Bykiev · Answer 10 · Thu Jul 27 2023 14:26:20 GMT+0800 (China Standard Time)

Интересно то, что если не использовать метод Find, а искать через перебор, то ошибки со старой версией нет

var results = store.Certificates.Where(_=>_.Thumbprint.ToLower() == thumpPrint.ToLower()).ToList()

Fasjeit · Answer 11 · Thu Jul 27 2023 14:34:00 GMT+0800 (China Standard Time)

Да, метод Find был перенесён из форка 3.1, где он сделан ms, зачем то, очень хитро с поиском через нативные функции в созданном для этих целей in memory store, а не простым поиском по коллекции. В новых версиях уже заменили на поиск в коллекции, когда нибудь переедем на него.

Andrey Bykiev · Answer 12 · Thu Jul 27 2023 14:38:14 GMT+0800 (China Standard Time)

Отлично. Спасибо.

В "лабораторном" сценарии для детерминированного воспроизведения можно сделать что то такое:

using (var gostCert = GetGostCertificate())
using (var rsaCert = GetRsaCertificate())
{
    // трогаем закрытый ключ и заставляем его инициализироваться
    var gostKey = gostCert.PrivateKey;

    var collection = new X509Certificate2Collection(
        new X509Certificate2[] { rsaCert, gostCert });

    var resultGost = collection.Find(X509FindType.FindBySubjectName, "G2012512", false);

    var resultRsa = collection.Find(X509FindType.FindBySubjectName, "rsa_test", false);
}

Ошибка "Mixed CSP certificate collection" падает на строке
var resultGost = collection.Find(X509FindType.FindBySubjectName, "G2012512", false);

Fasjeit · Answer 13 · Thu Jul 27 2023 14:40:32 GMT+0800 (China Standard Time)

Речь про старую, или новую сборку?

Andrey Bykiev · Answer 14 · Thu Jul 27 2023 14:40:47 GMT+0800 (China Standard Time)

Про старую, в новой работает без ошибок

Fasjeit · Answer 15 · Thu Jul 27 2023 14:44:25 GMT+0800 (China Standard Time)

Понял, спасибо.

Багу закрываю, если будут какие то ошибки - можно переоткрыть.