#php #encryption #ssl
#php #шифрование #ssl
Вопрос:
Я создал API, который требует авторизации с помощью подписанного запроса.
Я использую функции php openssl_sign и openssl_verify.
Я понимаю концепцию открытого и закрытого ключей (алгоритм DSA). Но в принципе я понятия не имею, как это реализовать.
Я работаю с этим примером из http://uk.php.net/manual/en/function.openssl-sign.php
<?php
$data = "Beeeeer is really good.. hic...";
// You can get a simple private/public key pair using:
// openssl genrsa 512 >private_key.txt
// openssl rsa -pubout <private_key.txt >public_key.txt
// IMPORTANT: The key pair below is provided for testing only.
// For security reasons you must get a new key pair
// for production use, obviously.
$private_key = <<<EOD
-----BEGIN RSA PRIVATE KEY-----
MIIBOgIBAAJBANDiE2 Xi/WnO s120NiiJhNyIButVu6zxqlVzz0wy2j4kQVUC4Z
RZD80IY 4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQJAL151ZeMKHEU2c1qdRKS9
sTxCcc2pVwoAGVzRccNX16tfmCf8FjxuM3WmLdsPxYoHrwb1LFNxiNk1MXrxjH3R
6QIhAPB7edmcjH4bhMaJBztcbNE1VRCEi/bisAwiPPMq9/2nAiEA3lyc5 f6DEIJ
h1y6BWkdVULDSM jpi1XiV/DevxuijMCIQCAEPGqHsF 4v7Jj 3HAgh9PU6otj2n
Y79nJtCYmvhoHwIgNDePaS4inApN7omp7WdXyhPZhBmulnGDYvEoGJN66d0CIHra
I2SvDkQ5CmrzkW5qPaE2oO7BSqAhRZxiYpZFb5CI
-----END RSA PRIVATE KEY-----
EOD;
$public_key = <<<EOD
-----BEGIN PUBLIC KEY-----
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANDiE2 Xi/WnO s120NiiJhNyIButVu6
zxqlVzz0wy2j4kQVUC4ZRZD80IY 4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQ==
-----END PUBLIC KEY-----
EOD;
$binary_signature = "";
// At least with PHP 5.2.2 / OpenSSL 0.9.8b (Fedora 7)
// there seems to be no need to call openssl_get_privatekey or similar.
// Just pass the key as defined above
openssl_sign($data, $binary_signature, $private_key, OPENSSL_ALGO_SHA1);
// Check signature
$ok = openssl_verify($data, $binary_signature, $public_key, OPENSSL_ALGO_SHA1);
echo "check #1: ";
if ($ok == 1) {
echo "signature ok (as it should be)n";
} elseif ($ok == 0) {
echo "bad (there's something wrong)n";
} else {
echo "ugly, error checking signaturen";
}
$ok = openssl_verify('tampered'.$data, $binary_signature, $public_key, OPENSSL_ALGO_SHA1);
echo "check #2: ";
if ($ok == 1) {
echo "ERROR: Data has been tampered, but signature is still valid! Argh!n";
} elseif ($ok == 0) {
echo "bad signature (as it should be, since data has beent tampered)n";
} else {
echo "ugly, error checking signaturen";
}
?>
Но я изо всех сил пытаюсь понять, как это можно реализовать в запросе URI.
Закрытые и открытые ключи кажутся достаточно большими для использования в запросах http get, а также как клиент сможет сгенерировать подпись, которая может быть проверена сервером?
Ответ №1:
В основном, в шифровании есть 3 вещи:
- Генерация открытого ключа и пары закрытых ключей
- Зашифруйте данные с помощью закрытого ключа 1 и открытого ключа
- Расшифруйте данные с помощью открытого ключа и закрытого ключа 2
Шаг 1 выполняется только один раз, вы можете сгенерировать открытый ключ (или ключи [RSA]) и закрытые ключи для двух клиентов (или сервера и клиента)
Перед отправкой данных вам необходимо подписать данные своим закрытым ключом (известным только вам) и открытым ключом (известным для обоих), это создаст cypertext (или он называется digest), и вы можете отправить его противоположному лицу (другому клиенту или серверу). С другой стороны, они расшифровывают cypertext с помощью открытого ключа, а затем с помощью своего закрытого ключа для извлечения фактических данных.
На самом деле это основы шифрования-дешифрования с помощью открытых закрытых ключей.
Доступны различные версии этого шифрования и дешифрования, будет полезно сделать википедию.
Комментарии:
1. Википедия может быть немного более сложной в своем объяснении, иногда вам просто нужно понять концепцию. Спасибо
2. @Sajith Amma, вы упомянули пару закрытых ключей выше. Как один открытый ключ может разблокировать два отдельных закрытых ключа? У меня сложилось впечатление, что отношения открытого и закрытого ключей были один к одному.
Ответ №2:
Похоже, не очень хорошая идея передавать ключ вместе с запросом HTTP get, который вы хотите подписать.
Лучше иметь открытый ключ, уже сохраненный на стороне сервера (например, в клиентской базе данных), и искать его по некоторому идентификатору, отправленному с запросом (например, имя пользователя).
Ваш URL-адрес запроса будет выглядеть следующим образом:
rtp://api.example.com/username=User1amp;method=XMLamp;product=shoesamp;size=5amp;sex=maleamp;signature=x1cvGgtRfJs4FgG
Клиент будет использовать закрытый ключ (и любую реализацию DSA) для подписи важной части URL-адреса запроса.
(Закрытый ключ никогда не должен передаваться вообще.)