J
akiś czas temu dowiedzieliśmy się, iż klucze OpenSSH mogą posłużyć do podpisywania plików lub commitów git. Do tego samego celu możemy wykorzystać klucze używane w certyfikatach SSL/TLS (pozyskane z dowolnej strony, która jest dostępna dzięki protokołu HTTPS). Pierwszym krokiem jest stworzenie pliku z wiadomością:
echo 'TOP Secret Message' > msg.txtDrugim jest podpisanie pliku dzięki prywatnego klucza, który znajduje się na serwerze:
openssl dgst -sha256 -sign /etc/apache2/ssl/server.key -out msg.txt.sig msg.txtTrzecim jest konwersja pliku msg.txt.sig z formatu binarnego do tekstowego używając BASE64:
openssl base64 -in msg.txt.sig -out msg.txt.sig.ascJeśli teraz opublikujemy plik z wiadomością msg.txt oraz jego podpis: msg.txt.sig.asc, każdy posiadający dostęp do strony będzie mógł zweryfikować jej autentyczność. W pierwszym kroku użytkownik musi uzyskać klucz publiczny:
openssl s_client -connect nfsec.pl:443 | openssl x509 -pubkey -noout > pubkey.keyNastępnie użytkownik musi ponownie zamienić opublikowaną sygnaturę tekstową do formy binarnej:
openssl base64 -d -in msg.txt.sig.asc -out msg.txt.sigi zweryfikować poprawność wiadomości dzięki pobranego klucza:
user@user:~$ openssl dgst -keyform pem -verify pubkey.key -signature msg.txt.sig msg.txt Verified OKAle to nie wszystko. Skoro użytkownik może bardzo prosto pozyskać klucz publiczny serwera to jest w stanie szyfrować wiadomości przeznaczone do jego administratora lub właściciela:
openssl pkeyutl -in msg.txt -out to_agresor.enc -pubin -inkey pubkey.key -encryptTak przesłana wiadomość może zostać odczytana dzięki klucza prywatnego, który został użyty w certyfikacie TLS/SSL danego serwera:
root@stardust:~# openssl pkeyutl -in to_agresor.enc -out msg.txt -inkey \ /etc/apache2/ssl/server.key -decrypt root@stardust:~# cat msg.txt TOP Secret MessageW ten sposób każdy użytkownik może zaszyfrować wiadomość dla właścicieli swoich ulubionych stron internetowych – choćby jeżeli nie publikują one jawnie klucza publicznego.
Więcej informacji: Using HTTPS certificates to sign/encrypt arbitrary data
