c#中用rsa+sha256对文件数字签名需先流式计算sha256哈希值,再用私钥调用signhash签名;验证时须用相同哈希算法和公钥调用verifyhash;密钥应安全存储于证书存储或密钥管理服务,避免硬编码。
如何用 C# 对文件做数字签名(使用 RSA + SHA256)
直接用 RSACng(推荐)或 RSACryptoServiceProvider 生成签名,核心是「对文件哈希值签名」,不是对原始文件内容直接签名。常见错误是试图签名整个大文件导致内存溢出或超时。
- 先用
SHA256.Create()计算文件的哈希值(byte[]),不要读全文件到内存——用FileStream配合ComputeHash(Stream) - 用私钥调用
RSA.SignHash()签名哈希值,指定HashAlgorithmName.SHA256和RSAEncryptionPadding.Pkcs1 - 签名结果是字节数组,通常保存为
.sig文件或与原文件同名追加后缀(如file.txt.sig) - 注意:.NET 5+ 中
RSACryptoServiceProvider已标记为过时,优先用RSACng或RSA.Create()(后者在 Windows 上默认返回RSACng)
如何用 C# 验证文件签名是否有效
验证必须用和签名时**完全相同的哈希算法**和**对应的公钥**。常见错误是公钥格式不匹配(XML vs Pem)、哈希算法写错(比如签名用 SHA256 却用 SHA1 验证),或误把签名文件当原文件传入验证流程。
- 重新计算原文件的 SHA256 哈希值(同样用流式读取)
- 加载公钥(可用
RSA.ImportFromPem()直接读 PEM 格式,或RSA.FromXmlString()读 XML;注意 .NET Core 3.0+ 才支持ImportFromPem) - 调用
RSA.VerifyHash(),传入哈希字节、签名字节、HashAlgorithmName.SHA256和RSAEncryptionPadding.Pkcs1 - 返回
true表示签名有效且文件未被篡改;false可能是签名错、密钥错、哈希错或文件被改
如何安全保存和复用密钥(避免硬编码私钥)
把私钥字符串写死在代码里等于公开密钥。生产环境必须隔离密钥生命周期——签名服务应独占私钥访问权限,验证端只需公钥。
- 私钥建议存于 Windows Certificate Store(用
X509Store+Find()检索含私钥的证书),或 Azure Key Vault / AWS KMS 等密钥管理服务 - 公钥可导出为 PEM:
rsa.ExportRSAPublicKeyPem()(.NET 5+),或用rsa.ExportParameters(false)得到 XML - 若必须文件存储,请确保私钥文件权限严格(Windows 下 ACL 限制,Linux 下
chmod 600),且不提交到 Git(加入.gitignore) - 避免用
RSACryptoServiceProvider.ToXmlString(true)导出含私钥的 XML——该方法已过时且易泄露
遇到 “Invalid algorithm specified” 或 “Key not valid for use in specified state” 怎么办
这两类错误基本都源于算法不匹配或密钥状态异常,不是代码逻辑问题。
-
"Invalid algorithm specified":检查SignHash()和VerifyHash()中的HashAlgorithmName是否一致,且与签名时实际用的哈希一致(例如不能用SHA1去验SHA256签名) -
"Key not valid for use in specified state":多见于从证书加载私钥后未正确设置可导出标志(X509KeyStorageFlags.Exportable),或证书私钥被标记为不可导出(CSP 属性限制) - 调试时可用
rsa.KeySize和rsa.PublicOnly检查密钥是否加载成功、是否含私钥 - 跨平台部署注意:
RSACng仅 Windows,Linux/macOS 应用RSA.Create()并确保运行时支持(.NET 5+ 默认兼容)
签名本身不加密文件内容,只保证完整性与来源可信;如果还需保密性,得额外套一层加密(如 AES)。密钥管理和哈希一致性是实际落地中最容易被跳过的环节。
