Подпись сделанная с помощью dotnetcades не проходит проверку в API ЕСИА Госуслуг

[AlexTooleneff]

Условие: для получения токена Госключа необходимо отправить запрос на https://esia-portal1.test.gosuslugi.ru/esia-rs/api/public/v1/orgs/ext–app/{UUID}/tkn?signature={SIGNATURE}
где UUID - это API-ключ, а SIGNATURE - подпись запроса в формате PKCS#7 detached signature в формате urlSafeBase64 в кодировке UTF-8 – подписанный не ранее, чем за 24 часа (86400 с) параметр UUID сертификатом организации, на сотрудника которой был выдан (сформирован) идентификационный ключ
Для формирование подписи SIGNATURE и получения токена используется этот код:

using dotnetcades;
namespace signconsole;

public static class StaticMethods
{
    const string APIKey = "332e92df-886c-46f5-8650-57a7cbc33fc0";
    public static async Task<string?> SignDataAsync()
    {
        using var oStore = new dotnetcades.Store();
        oStore.Open(NC.CADESCOM_CURRENT_USER_STORE, NC.CAPICOM_MY_STORE, NC.CAPICOM_STORE_OPEN_MAXIMUM_ALLOWED);
        using var oCertificates = oStore.Certificates;
        // В хранилище только один сертификат с закрытым ключом
        var oCertificate = oCertificates.Item(1);
        using var oSigner = new dotnetcades.Signer();
        oSigner.Certificate = oCertificate;
        // следующие две строки добавлены для возможности использования тестового сертификата госуслуг
        oSigner.CheckCertificate = false; // Отключаем проверку сертификата
        oSigner.Options = NC.CADESCOM_AllowUntrustedCertificate; // Разрешаем использование недоверенных сертификатов
        oSigner.KeyPin = "1234567890";
        using var oSignedData = new dotnetcades.SignedData();
        oSignedData.Content = APIKey;
        var signature = oSignedData.SignCades(oSigner, NC.CADESCOM_PKCS7_TYPE, true, NC.CADESCOM_ENCODE_BASE64);
        return signature;
    }
    public static async Task GetTokenAsync()
    {
        var sig = await SignDataAsync();
        using var httpClient = new HttpClient();
        var requestUri =
        "https://esia-portal1.test.gosuslugi.ru"
        + "/esia-rs/api/public/v1/orgs/ext-app/"
        + APIKey + "/tkn?signature="
        + System.Net.WebUtility.UrlEncode(sig);
        var res = await httpClient.GetAsync(requestUri);
        var resContent = await res.Content.ReadAsStringAsync();
        Console.WriteLine($"Response: {res.StatusCode} {resContent}");
    }
}
 

При выполнении GetTokenAsync получаем ответ

Unauthorized {"code":"ESIA-005002","message":"Некорректная подпись"}

При этом подпись сделанная на этой же машине с помощью приложения командной строки с параметрами:

/opt/cprocsp/bin/amd64/cryptcp -sign -uMy -dn=CN -nochain -der -pin 1234567890 -fext .p7s key.txt

проходит проверку и в ответ на GET запрос получаем токен

[AlexTooleneff]

Благодаря помощи Андрея на форуме, за что ему огромное спасибо, удалось разобраться и выяснить:

1. содержимое должно быть в BASE64,
2. способ кодирования должен быть CADESCOM_BASE64_TO_BINARY, а точнее равен 1, так как такой константы нет в dotnetcades.
3. способ кодирования должен быть установлен перед тем как будет установлено значение содержимого, то есть значение в ContentEncoding должно быть записано раньше, чем в Content, иначе содержимое будет преобразовано способом кодирования по-умолчанию (CADESCOM_STRING_TO_UCS2LE).

Очень надеюсь, что следующая эта информация поможет кому-то сэкономить ценное время и будет полезна.

Предлагаю дополнить описания для dotnetcades и обновить пример использования:

При использовании библиотеки необходимо учитывать особенности работы с подписываемым/кодируемым содержимым.
Для подписания данных необходимо создать объект типа dotnetcades.SignedData (далее - объект).
Содержимое, которое необходимо подписать записывается в свойство Content этого объекта, при этом сразу же происходит кодирование этого содержимого по способу CADESCOM_STRING_TO_UCS2LE (это способ по-умолчанию, подробнее о кодировании тут: https://docs.cryptopro.ru/cades/plugin/content-encoding).
Чтобы изменить способ кодирования необходимо предварительно установить свойство ContentEncoding объекта равным 1 (что соответствует CADESCOM_BASE64_TO_BINARY - перекодировка данных из Bas64 в бинарный массив). Это необходимо сделать перед установкой значения для свойства Content.

И правильный пример для создания и проверки подписи (взамен имеющегося тут):

using System;
using System.Text;
using dotnetcades;

namespace samples
{
    public static class SignVerifyCadesBes
    {
        public static void Run()
        {
            const string CertificateSN = "Test Certificate";
            // Предположим, что нам необходимо подписать следующий текст:
            const string TextToSign = "Test content to be signed";
            // Данные для подписания должны представлять собой строку в кодировке BASE64
            // Поэтому сначала преобразуем наш текст в массив байт в нужной кодировке, а затем в строку BASE64
            // Для случая чтения содержимого файла необходимо прочитать его байты и затем выполнить Convert.ToBase64String(fileBytes)
            string DataToSign = Convert.ToBase64String(Encoding.Default.GetBytes(TextToSign));
            try
            {
                using var oStore = new dotnetcades.Store();
                oStore.Open(NC.CADESCOM_CURRENT_USER_STORE, NC.CAPICOM_MY_STORE, NC.CAPICOM_STORE_OPEN_MAXIMUM_ALLOWED);

                using var oCertificates = oStore.Certificates;
                using var foundCerts = oCertificates.Find(NC.CAPICOM_CERTIFICATE_FIND_SUBJECT_NAME, CertificateSN);
                if (foundCerts.Count == 0)
                {
                    Console.WriteLine($"Certificates with private key not found");
                    return;
                }

                using var oSigner = new dotnetcades.Signer();
                using var oCertificate = foundCerts.Item(1);
                oSigner.Certificate = oCertificate;
                oSigner.CheckCertificate = true;

                using var oSignedData = new dotnetcades.SignedData();
                // Задаем способ кодирования контента, чтобы данные из BASE64 были корректно распознаны
                // Обязательно перед присвоением значения свойству Content 
                oSignedData.ContentEncoding = 1; //https://docs.cryptopro.ru/cades/plugin/content-encoding
                oSignedData.Content = DataToSign;
                var signature = oSignedData.SignCades(oSigner, NC.CADESCOM_CADES_BES);
                Console.WriteLine($"Signed Message: {signature}");

                var oSignedDataVerify = new dotnetcades.SignedData();
                oSignedDataVerify.VerifyCades(signature, NC.CADESCOM_CADES_BES);
                Console.WriteLine($"Verified successfully");
            }
            catch (Exception ex)
            {
                Console.WriteLine(ex.Message);
            }
        }
    }
}