Путать с сигнатурами API пары открытого и закрытого ключей - PullRequest
Новая
       16

Путать с сигнатурами API пары открытого и закрытого ключей

4 голосов
/ 13 октября 2011

Я создал API, который требует авторизации с подписанным запросом.

Я использую функции php openssl_sign и openssl_verify.
Я понимаю концепцию открытого и закрытого ключа (алгоритм DSA),Но в принципе я понятия не имею, как это реализовать.

Я работаю на этом примере из http://uk.php.net/manual/en/function.openssl-sign.php

<?php
$data = "Beeeeer is really good.. hic...";

// You can get a simple private/public key pair using:
// openssl genrsa 512 >private_key.txt
// openssl rsa -pubout <private_key.txt >public_key.txt

// IMPORTANT: The key pair below is provided for testing only. 
// For security reasons you must get a new key pair
// for production use, obviously.

$private_key = <<<EOD
-----BEGIN RSA PRIVATE KEY----- 
MIIBOgIBAAJBANDiE2+Xi/WnO+s120NiiJhNyIButVu6zxqlVzz0wy2j4kQVUC4Z
RZD80IY+4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQJAL151ZeMKHEU2c1qdRKS9
sTxCcc2pVwoAGVzRccNX16tfmCf8FjxuM3WmLdsPxYoHrwb1LFNxiNk1MXrxjH3R
6QIhAPB7edmcjH4bhMaJBztcbNE1VRCEi/bisAwiPPMq9/2nAiEA3lyc5+f6DEIJ
h1y6BWkdVULDSM+jpi1XiV/DevxuijMCIQCAEPGqHsF+4v7Jj+3HAgh9PU6otj2n
Y79nJtCYmvhoHwIgNDePaS4inApN7omp7WdXyhPZhBmulnGDYvEoGJN66d0CIHra
I2SvDkQ5CmrzkW5qPaE2oO7BSqAhRZxiYpZFb5CI
-----END RSA PRIVATE KEY-----
EOD;
$public_key = <<<EOD
-----BEGIN PUBLIC KEY-----
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANDiE2+Xi/WnO+s120NiiJhNyIButVu6
zxqlVzz0wy2j4kQVUC4ZRZD80IY+4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQ==
-----END PUBLIC KEY-----
EOD;

$binary_signature = "";

// At least with PHP 5.2.2 / OpenSSL 0.9.8b (Fedora 7)
// there seems to be no need to call openssl_get_privatekey or similar.
// Just pass the key as defined above
openssl_sign($data, $binary_signature, $private_key, OPENSSL_ALGO_SHA1);

// Check signature
$ok = openssl_verify($data, $binary_signature, $public_key, OPENSSL_ALGO_SHA1);
echo "check #1: ";
if ($ok == 1) {
    echo "signature ok (as it should be)\n";
 } elseif ($ok == 0) {
    echo "bad (there's something wrong)\n";
} else {
    echo "ugly, error checking signature\n";
}

$ok = openssl_verify('tampered'.$data, $binary_signature, $public_key,     OPENSSL_ALGO_SHA1);
echo "check #2: ";
if ($ok == 1) {
    echo "ERROR: Data has been tampered, but signature is still valid! Argh!\n";
} elseif ($ok == 0) {
    echo "bad signature (as it should be, since data has beent tampered)\n";
} else {
    echo "ugly, error checking signature\n";
}
?>

Но я изо всех сил пытаюсь понять, как это можно реализовать вЗапрос URI.

Закрытый и открытый ключи кажутся достаточно большими для использования в запросах http get, а также как клиент сможет генерировать подпись, которая может быть проверена сервером?

Ответы [ 2 ]

2 голосов
/ 22 декабря 2011

В основном здесь есть три вещи в шифровании:

  1. Генерация открытого ключа и пары закрытых ключей
  2. Шифрование данных с помощью закрытого ключа 1 и открытого ключа
  3. Расшифровать данные с помощью открытого ключа и закрытого ключа 2

Шаг 1 происходит только один раз, вы можете сгенерировать открытый ключ (или ключи [RSA]) и закрытые ключи для двух клиентов (или сервера и клиента)

Прежде чем отправлять данные, вам необходимо подписать данные своим закрытым ключом (известным только вам) и открытым ключом (известным как для обоих), это создаст кипертекст (или он называется дайджест), и вы можете отправить это другому человеку (другому клиенту или серверу). С другой стороны, они дешифруют гипертекст с помощью открытого ключа, а затем с помощью своего закрытого ключа для получения фактических данных.

Это фактически основы шифрования-дешифрования с открытыми закрытыми ключами.

Доступны различные версии этого шифрования и дешифрования, полезно будет сделать википедию.

1 голос
/ 28 ноября 2011

Похоже, не очень хорошая идея передавать ключ вместе с HTTP-запросом получения, который вы хотите подписать.

Лучше иметь открытый ключ, уже сохраненный на стороне сервера (например, в клиентебазы данных) и найдите его по некоторому идентификатору, отправленному с запросом (например, по имени пользователя).

URL вашего запроса будет выглядеть следующим образом: 

rtp://api.example.com/username=User1&method=XML&product=shoes&size=5&sex=male&signature=x1cvGgtRfJs4FgG

Клиент будет использовать приватныйключ (и любая реализация DSA) для подписи важной части URL-адреса запроса.

(Закрытый ключ никогда не должен передаваться вообще.)

...