Как генерируется подпись?

Question

[Us59]

Изучаю Wiki:


Вот наглядный пример реального запроса: ссылка

Если я правильно понял,
1) Данные активации (BASe64)
2) Сертификат (Base 64 RSA), в котором особо ничего не нашел..
3) Подпись (которая судя WIKI генерируется из данных (1) и сертификата (2).

Подпись (3):

wBEUU8oNnOuvKqnB1n3PYm1MlqMC8LTWtnLPX0V1XIMyUs4XGNK7BVaYAqdIIJdyENs4
        PNgjT17EJ8JSkIHfkRnsrTh7GGQT7EeXS8HTpksZn1yKoT7AjZgIni72DgofOIA0tsDu
        hVqcP0BDtWQIBFub3NeHYT8FNACytWI/FNc=

Подпись (3) - это зашифрованные с помощью base64, которые сервер использует для проверки того, что запрос не затронут. (данные (1) не изменены)

Чем и как закодировано понятно из WIKI, но вот раскодировать эти данные не получается.
Цель: В конечном итоге, мне нужно изменять данные (1) и генерировать подпись (3)

Возможно кто-то подскажет как генерировать подпись (3), нужно на php.

Comments

[Saboteur]

base64 это просо кодирование (НЕ шифрование) какой-либо информации, чтобы она выглядела как текстовая строка.
В base64 формате часто хранятся разные данные.

Answer 1

[CityCat4]

Не получится.

Электронная подпись - это как раз про таких вот умников. Она гарантирует, что текст, который ею защищен, не был изменен. Подпись делается личным сертификатом (ключом), которого у Вас нет (если есть - Вы просто можете перегенерировать подпись стандартным способом). Если ключа нет - ничего не получится.

Там, на той стороне, абонент проверит подпись по общему сертификату отправителя - и если текст изменен, подпись не сойдется...

Comments

[Us59]

CityCat4 я вам скажу, что есть много умников, которые как-то это решают и "создают" подпись. которую сервер успешно принимает :)

Давайте представим, что у меня есть ключ, как я могу "перегенерировать подпись стандартным способом"?

Возможно, этот самый ключ (сертификат) у меня есть, но вот как этим пользоваться не понимаю)

Answer 2

[none7]

Подпись это хеш-сумма(sha1 в данном случае) данных зашифрованная секретным RSA-ключом. Расшифровывая подпись публичным RSA-ключом, можно обратно получить хеш данных и сравнив его с хешем имеющихся данных, можно проверить подпись. Сертификат содержит в себе публичный RSA-ключ. Вы не сможете сгенерировать правильную подпись, не имея секретного ключа, в этом суть любой ассиметричной криптографии. Если бы можно было бы это обойти, то вся безопасность интернета накрылась бы медным тазом, ибо ассиметричное шифрование это основа SSL.

Comments

[none7]

Us59 Ах, да. Нынче алгоритм sha1 считается дырявым, то есть можно так изменить данные, что хеш-сумма будет идентичной. Тогда не придётся взламывать RSA, так как валидатор не заметит подмены.

[Us59]

none7, не могли бы написать мне на почту, которая указана в профиле, пожалуйста. Или как можно связаться с вами.