Diskuze: SHA256withRSA
V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.
Nejsem javista, ale po nahlédnutí dokumentace mi to připomíná php funkci opensll_sign()
$retezec = 'tvuj retezec';
$podpis = '';
$pk = <<<EOD
-----BEGIN RSA PRIVATE KEY-----
// ...
-----END RSA PRIVATE KEY-----
EOD;
openssl_sign($retezec, $podpis, $pk, "SHA256");
//v $podpis by nyní měl být podpis v binární formě.
//pro obvyklý výstup je potřeba ještě převést
$output = base64_encode($podpis);nešla by použít? případně koukni ještě do dokumentace PHP tam toho
bude určitě víc 
maxy obr:19.8.2016 10:09
Díky to vypadá, že bude ono. Ale pracuji s certifikátama a podpisama
poprvé a nejsem z toho úplně moudrej. Mám k tomu tento zip se souborama a nejsem si jistej kterez z nich a jak
použít. (jsou jen testovací ) Mám tedy otevřít soubor ca.cer jeho obsah použít jako podpis a
nebo certifikát v souboru cer.pem? A $pk (doufam ze myslis private key 
) je tedy v souboru crl.pem? a
jako poslední parametr uvádíš SHA256 ale ve specifikaci je can be one of
OPENSSL_PKCS1_PADDING, OPENSSL_SSLV23_PADDING, OPENSSL_PKCS1_OAEP_PADDING,
OPENSSL_NO_PADDING.
Možná to píšu celé blbě tak prosím o vysvětlení a opravu. Hodně mi to
pomůže
Private key by měl jít vytáhnout z souborů .pem ovšem jestli do těch tvých dobře koukam obsahuje pouze klíč veřejný..
Ano $pk je private key.
Ten poslední parametr "SHA256" tam musí být pokud to chceš mít SHA256
nejsemsi jistý co všechno
se s tím dá ještě dělat jiného a jinak, ale tohle je vyzkousene že
funguje
maxy obr:19.8.2016 13:48
Pochopil jsem tedy správně, že podpis to dole mezi -----BEGIN
CERTIFICATE----- a -----END CERTIFICATE-----
pokud tu funkci použiju vypíše chybu openssl_sign() expects parameter 4 to be
long tedy chybu 4. parametru ale je to divný tam asi chyba nebude, stejnou
hlásí i pokud tam dám něco podle specifikace PHP, pokud ten parametr
odstaním úplně chyba je supplied key param cannot be coerced into a private
key. POkud tam tedy dávám správně podpis měl bych si asi prověřit ten pk
co
V případě, že chceš podepsat svůj řetězec podpis tvého souboru tě
nemusí moc zajímat protože potřebuješ udělat podpis nový pro ten
řetězec takže $podpis na začátku necháš prázdný a potom si z něj
přečteš hotový podpis pro tvůj řetězec.
udělal sem malý experiment poslední parametr "SHA256" způsobuje problém
u verzí PHP nižších než PHP 5.2 pokud požíváš PHP nižší než 5.2 tak
pokud nemáš vážný důvod pro zachování této verze uděláš nejlíp
když si ho aktualizuješ momentálně je nejnovější PHP 7,ale pokud necheš
zas tak velký skok tak asi PHP 5.4 nebo PHP 5.6 to sou docela dobré verze. (o
zpětnou kompatibilitu se nemusíš bát ta je téměř 100% a málo kdy na
nějaký problém narazíš. třeba v PHP 7 třeba už nefungují ovladače
databáze mysql_* ale ty už by se dávno neměli používat a tak. nové verze
zrychlují a přidávají novou funkčnost).
co se tvého řešení týče
openssl_sign($retezec, $podpis, $pk);
//ano skutečně funguje vyhodí ti binární podpis, ale v jaké podobě sem nenašel (možná sha1)
$podpis = hash('sha256',$podpis)
//tímto vytvoříš nedefinovatelný sha256, který má ale uplně jinou hodnotu než při použití parametru "SHA256"
$podpis = base64_encode($podpis);
//tato funkce je použitá pro převod z binárního řetězce na textový, funkce hash() už textový řetězec vrací..Ne není nutné přiřazovat klíč. Pomocí funkce openssl_pkey_new() si
můžeš na základě zadaných parametrů vygenerovat dvojici Private_KEY a
Public_KEY kdykoliv potřebuješ.
může mít hodnoty 512(málo), 1024(slabší standart), 2048 a 4096.
Pokud si budeš takhle generovat nové klíče, všechny ostatní soubory pak
nebudeš potřebovat. ovšem je otázka jestli to nebude vadit? Protože tvůj
certifikát je ověřován a podepsán důvěryhodnou autoritou jejíž
certifikát má uživatel někde nainstalovaný čímž uživateluv PC ověří
pravost tvého cerifikátu a pomocí Public key který je v tvém certifikátu,
který si nainstaluje ověřuje pravost tvých podpisů u souborů co mu
posíláš. (jestli to nějak pochopitelně vysvětluji)
A nebo bez certifikátů musíš uživateli nějak doručit i tvůj Pubilc key
protože tvůj podpis je moc hezký ale pokud nemá uživatel jak ověřit jeho
pravost je celkem k ničemu.(tohle druhé je např. ten případ když si to
budeš gerovat sám)
maxy obr:22.8.2016 13:31
Verzi PHP bych neřešil je to komplikovanější. Přesunul jsem to na localhost.
Pokud se parametr nevyplní opravdu to defaultně doplní sha1. Koukám, že
jsem tu funkci chápal špatně. Vkládám tedy řetězec který chci podepsat,
prázdnou proměnou do které se mi podpis vloží, private key (který si
vygeneruji), a algoritmus. Ověřovat pravost právě musím. Proto sem z toho
teď zmatenej. Jak dochází k tomu ověření, kam zmizely všechny
certifikáty když nic z toho nepoužívám?
Edit: Private key mu posílám společně s ostatními údaji.
doMík:22.8.2016 15:15
Psal sem pokud je to možné
Ano přesně tak funguje.
Certifikát by ti byl dobrý pokud by obsahoval i private key ale ty máš
"veřejný" certifikát který se dává uživatelům a skrz něj ověřují
pravost tvých podpisů atd. a ano je možnost je opravdu vypustit a fungovat i bez něj. akorát
je potřeba dávat trochu víc pozor aby vřejný klíč který nějakým
způsobem předáváš uživateli nikdo nepodvrhl.
!! Private key nikomu nedávaš ten si schováš někam tajně !!
Napíšu ti jednoduchý příklad, na ověření předpokládejme, že jak klient tak server jsou v PHP a používáš certifikát (princip je většinou dost podobný všude)
<?php /* klient */
//načtení dat ze serveru
$url = "http://www.tvujserver.com/rozhrani.php";
$url = urlencode($url);
$nacteni = file_get_contents($url)
$data = json_decode($nacteni);
//přiřazení hodnot
$podepsanytext = $data->{'data'};
$podpis = $data->{'signature'};
//Načtení veřejného klíče z lokálně uloženého certifikátu (tohle mužeš použit to tvůj certifikát obsahuje)
$pub_key_id = openssl_pkey_get_public("file://path/to/file/ca.cer.pem");
//ověření pravosti
$ok = openssl_verify($podepsanytext, $podpis, $pub_key_id);
if($ok = 1) { echo ("Podpis je v pořádku"); }
else if ($ok = 0) { echo ("Podpis neodpovídá textu, pravděpodobně se jedná o podvržená data"); }
else { echo ("ověření pravsti selhalo"); }<?php /* server */
$retezec;
//some code... & set value $retezec
$podpis = '';
$pk = <<<EOD
-----BEGIN RSA PRIVATE KEY-----
// RSA PRIVATE KEY který musí být dvojicí s veřejným klíčem který má u sebe klient - je možné ho i načítat ze souboru ale na to máš špatné soubory
-----END RSA PRIVATE KEY-----
EOD;
openssl_sign($retezec, $podpis, $pk, "SHA256");
$output = array (
'data' => $retezec,
'signature' => base64_encode($podpis)
);
$json = json_encode($output);
echo $json;
ono s těmi certifikáty je to bezpečnější a snad je to nějak srozumitelně
napsané
+20 Zkušeností
+2,50 Kč
maxy obr:23.8.2016 11:35
Díky moc, řekněme, že už to tak nějak chápu. Narazil jsem ještě na jednu
věc v dokumentaci.
Certifikát i s privátním klíčem je publikován ve formátu PKCS#12/PFX,
heslo 'eet', soubor
01000004.p12
Pracoval jsi někdy s tímto formátem? Jak z toho ty údaje mám dostat?
doMík:24.8.2016 17:04
Promin za kratší odpověď sem na telefonu aktuální kódování zpravidla
odpovídá kódování souboru php, vhodným řešením je pomocí funkce
mb_internal_encoding() nastavit kódování pro používané interní
"stringy" a pak budeš mít jistotu jaké kódování se uvnitř používá
takže i jaké nastavit do této funkce
maxy obr:14.9.2016 9:54
Podařilo se mi to tak nějak dát dohromady. Momentálně volám SOAP funkci která mi vrací odpověď. Ale vypisuji to pouze takto:
$result = $client->OdeslaniTrzby($param);
print_r($result);Asi to není úplně správné řešení, nemá se například volat nějaká
funkce která se při odpovědi vrací?
Podle specifikace by se měla odpověď vracet jako XML. Pokud je to tak jak si
myslím, jak zjistím kterou funkci vrací. Pokud je to jinak tak prosím o
vysvětlení.
Díky
Ahoj Maxy_obr
taky začínám řešit stejný problém. Potřebuji si na svém eshopu
zprovoznit záležitosti kolem eet. Nejsem úplně zběhlý v tom, co po nás
chtějí s těmi certifikáty a šifrováním...
Mohu Tě poprosit o nějaký funkční kód, který bych mohl použít?
Děkuji.
ja13:21.9.2016 21:39
No právě, že nefunguje... 
Mám tam pod tím tohle:
$podpis = hash('SHA256',$podpis);Obávám se toho, že budu muset celý systém předělat na PHP 5.4, z
čehož úplně nejásám...
A hledám řešení pro PHP 5.2
Chápu, že nemáš čas, ale pokud by sis cokoliv vyšetřil, moc by mi to
pomohlo...
Děkuji
ja13:23.9.2016 15:31
Ahoj Honzo
skvělý, že ses přidal... půjde nám to určitě lépe
já jsem právě zjistil, že celý problém proč mi to nejde je v tom, že
mám PHP 5.2 a to neumí SHA256..
Takže dneska večer přecházím na PHP 5.4 a doufám, že už pak bude vše
ok... jen doufám, že nebudu muset moc věcí opravovat.... uvidíme...
Další věc pak bude sestavit hlavičku a SOAP obálku... 
kdyby jsi něco měl, budu rád, když to poskytneš, abychom mohli pokročit
(ale k tomu jsem se ještě nedostal..)
Díky moc za tvůj příspěvek!
Ahoj všichni
tak včera jsme přemigrovali na PHP 5.5 tento víkend bude asi pracovní
každopádně, funkce hash začala fungovat a zde je můj kód:
$cert_info = array();
//if (! $cert_store = file_get_contents ( "C:\_F\Programes\_XE8_FMX\TestKryptovani/01000003.p12" )) {
if (! $cert_store = file_get_contents ( "certifikaty/01000003.p12" )) {
echo "Error: Unable to read the cert file<br />" ;
exit;
}
if ( openssl_pkcs12_read ( $cert_store , $cert_info , "eet" )) {
echo "Certificate Information<br />" ;
print_r ( $cert_info );
} else {
echo "Error: Unable to read the cert store.<br />" ;
exit;
}
echo "<br><br>";
echo "<br><br>";
echo "<br><br>";
// řetězec, který chceme podepsat
$retezec = 'CZ1212121218|273|/5546/RO24|0/6460/ZQ42|2016-08-05T00:30:12+02:00|34113.00';
// podpis
$podpis = '';
// podpisový klíč - privátní
$pk = $cert_info['pkey'];
// funkce, která nám vytvoří podpis
openssl_sign($retezec, $podpis, $pk, OPENSSL_ALGO_SHA256);
$podpis = base64_encode($podpis);
echo "Generovaný PKP:<br />";
echo $podpis;
echo "<br><br>";
echo strlen($podpis);
echo " / správné číslo je 344 znaků";
echo "<br><br>";
echo "<br><br>";
echo "<br><br>";
echo "Správný PKP:<br />";
echo "D84gY6RlfUi8dWdhL1zn0LE0s+aqLohtIxY0y88GoG5Ak8pBEH3/Ff2aFW7H6fvRxDMKsvM/VIYtUQxoDEctVGMSU/JDf9Vd0eQwgfLm683p316Sa4BUnVrIsHzwMyYkjpn66I072G2AvOUP4X5UiIYtHTwyMVyp+N/zzay3D7Q619ylDb6puN2iIlLsu+GNSB9DvsQbiLXPH6iK0R9FpR15v2y+0Uhh8NNJKl7O8Us9jbgokrA9gze+erQbhmwTm2nn2+7JGrPDqhyhwWZNLUziGSbC99wJpkEnIs0das/4hFNE3DnLvv4MsXwWCLOUZty6t6DAijlCzQj7KFKw0g==";
echo "<br><br>";
echo strlen("D84gY6RlfUi8dWdhL1zn0LE0s+aqLohtIxY0y88GoG5Ak8pBEH3/Ff2aFW7H6fvRxDMKsvM/VIYtUQxoDEctVGMSU/JDf9Vd0eQwgfLm683p316Sa4BUnVrIsHzwMyYkjpn66I072G2AvOUP4X5UiIYtHTwyMVyp+N/zzay3D7Q619ylDb6puN2iIlLsu+GNSB9DvsQbiLXPH6iK0R9FpR15v2y+0Uhh8NNJKl7O8Us9jbgokrA9gze+erQbhmwTm2nn2+7JGrPDqhyhwWZNLUziGSbC99wJpkEnIs0das/4hFNE3DnLvv4MsXwWCLOUZty6t6DAijlCzQj7KFKw0g==");
echo " / správné číslo je 344 znaků";
echo "<br><br>";
$rsa_text = $podpis;
echo '1. po openssl_sign<br>';
echo $rsa_text.'<br>';
$rsa_text_base64 = base64_encode($rsa_text);
echo '2. po base64_encode = PKP <br>';
echo $rsa_text_base64.'<br>';
$hash_sha1_base16 = sha1($rsa_text);
//$hash_sha1_base16 = hash('SHA1',$rsa_text); //stejný výsledek
echo '3. po SHA1 <br>';
echo $hash_sha1_base16.'<br>';
$hash_sha1_base16 = chunk_split($hash_sha1_base16,8);
echo '4. po pomlčkách = BKP <br>';
echo $hash_sha1_base16.'<br>';
echo "<br><br> správně:<br> 8F8ABFEB-B76E7064-343A1460-6C6E6D86-B0F99C24 <br><br>";
$podpis = strtoupper(chunk_split(sha1(base64_decode($podpis)),8,"-"));
echo $podpis;
Zobrazeno 50 zpráv z 50.