Генерация секретного клиента для модуля шифрования Salesforce Shield с использованием Openssl, BYOK

Question

Нашему клиенту нужно, чтобы мы внедрили модуль шифрования Shield для Salesforce с функцией ключа «Принеси свой собственный».

Наш клиент также предоставил пример секретного арендатора, который будет интегрирован в Shield.Этот арендатор представляет собой цепочку из 32 или 64 символов (только буквы и цифры).

Salesforce предоставляет скрипт для генерации наших собственных файлов, если мы не хотим использовать собственные файлы.Вот сценарий:

#!/bin/sh

PLAINTEXT_SECRET_HASH_B64="plaintext_secret_hash.b64"
ENCRYPTED_SECRET_B64="encrypted_secret.b64"
PLAINTEXT_SECRET="plaintext_secret.bin"
PUBLIC_KEY_PEM="public_key.pem"

usage ()
{
echo 'Generates a random 256-bit value, hashes it, and encrypts it using a given certificate.'
echo ''
echo 'Usage : secretgen <downloaded.crt>'
exit
}

if [ -z "$1" ]
then
usage
fi

# generate a random value to use as the secret.
head -c 32 /dev/urandom | tr '\n' = > $PLAINTEXT_SECRET

# hash the plaintext secret and encode it with base64.  Salesforce will use this for integrity checking.
openssl dgst -sha256 -binary $PLAINTEXT_SECRET | openssl base64 -out $PLAINTEXT_SECRET_HASH_B64

# extract the public key from the downloaded .crt file
openssl x509 -pubkey -noout -in $1 > $PUBLIC_KEY_PEM

# encrypt the secret using the public key and encode it with base64.
openssl rsautl -oaep -encrypt -pubin -inkey $PUBLIC_KEY_PEM -in $PLAINTEXT_SECRET | openssl base64 -out $ENCRYPTED_SECRET_B64


echo 'Generated files: '$ENCRYPTED_SECRET_B64' and '$PLAINTEXT_SECRET_HASH_B64'.'
echo 'Both of these should be uploaded to Salesforce.'

Дело в том, что я хотел бы напрямую использовать 32-символьную цепочку, предоставленную нашим клиентом, вместо цепочки, сгенерированной на этом шаге:

# generate a random value to use as the secret.
head -c 32 /dev/urandom | tr '\n' = > $PLAINTEXT_SECRET

Поэтому я попытался напрямую заменить сгенерированную цепочку на предоставленную, но она просто не работает и выдает сообщение об ошибке, когда все файлы загружены в Salesforce.Я не понимаю, почему 32-символьная цепочка, предоставленная клиентом, не будет работать, пока работает случайно сгенерированная 32-символьная цепочка.

Разве случайно сгенерированная цепочка не настолько случайна?(это похоже на сочетание букв, цифр и специальных символов, в то время как цепочка клиентов содержит только цифры и буквы).

Есть идеи?

Большое спасибо

Answer 1

from M2Crypto import RSA, X509
x509 = X509.load_cert("your_cert.pem")
rsa = x509.get_pubkey().get_rsa()

# building a secret as a 32bytes bytearray
my_secret = "This is my secret, and nobody knows it"
my_secret_bin = bytearray(my_secret)
# this should be exactly 32
len(my_secret_bin)

import base64
import hashlib

my_hash = base64.b64encode((hashlib.sha256(my_secret_bin[0:32])).digest())              
my_encrypted_secret = base64.b64encode(rsa.public_encrypt(my_secret_bin[0:32], RSA.pkcs1_oaep_padding))    

# This can be used to call it via API
# note that the 'your_cert' certificate name should match
upload_params = { 'SecretValue':my_encrypted_secret, 'SecretValueHash':my_hash, 'SecretValueCertificate':'your_cert'}


# write to files
with open('encrypted_secret.bb64', 'wb') as f:
f.write(my_encrypted_secret)

with open('secret_hash.b64', 'wb') as f:
f.write(my_hash)

Answer 2

Только предположения, в зависимости от используемой вами ОС и / или инструмента openssl, может произойти несколько вещей:

1. ваш новый файл ( plaintext_secret.bin ) не являетсяна самом деле 32 байта
2. могут быть скрытые пробелы (строка '\ n', табуляция ...), и ваша версия openssl не обрабатывает это должным образом.Вот почему на самом деле есть две версии скрипта: Unix и OSX
3. все хорошо, но вы, возможно, перепутали сертификаты (BYOK нужен сертификат для упаковки вашего контента)
4. сертификат должен быть сертификатом PE - проверьте его на странице BYOK.