Openssl api verifikacia, najdenie spravneho kluca
- HappyFace
- Člen | 162
Ahojte,
snazim sa zabezpecit api pomocou openssl za pouzitia rsa klucov .. vsetko funguje spravne len doteraz v tomto testovacom prostredi som poizival 1 private a knemu public kluc co je brnkacka, existuje len jeden kluc a voci nemu vsetko kontrolujem..
teraz to potrebujem rozsirit tak aby tam bolo mozne zadat n-public klucov..problem je ze nikde na nete neviem najst nejaky sposob ako zistit, ktory public kluc je spravny .. jedine co by islo je zobrat vsetky kluce a postupne skusat co je podla mojho nazoru absurdne vzhladom ktomu, ze ich tam moze byt neobmedzeny pocet..
neviete mi poradit ako sa vyhnut tomuto brutalforce testovaniu? je mozne nejako zistit cez nejaky fingerprint akym privatnim klucom boli data podpisane a nazaklade toho vybrat presny kluc?
vopred dakujem
PS: v tejto oblasti niesom moc zbehly tak prosim zoberte nato ohlad :)
- srigi
- Nette Blogger | 558
Nahodicka, riesil com cosi podobne. A musim ta upozornit na tento SO thread Pouzivat k jednemu priv. klucu N public klucov vedie ku kompromitaci priv. kluca. Takze to urcite nerob.
- HappyFace
- Člen | 162
jo jasne .. velmi sa ospravedlnujem blbo som to napisal ide oto, ze na api sa mozes pod jeden ucet prihlasit s x-private klucmi samozrejme ak knim existuje na serveru public (vid. github) .. len kedze mas x-public klucov pre jeden ucet(na serveru) ako vybrat co najsetrnejsie ten spravny, bez toho aby si vsetky testoval?
- srigi
- Nette Blogger | 558
Setrne to urobis tak ako prave na to Githube – pri prihlasovani vzdy zasielas username:
ssh git@github.com:srigi/xyz-repository.gitTo ti zuuzi skupinu, ktoru treba prehladat. Nasledne (teraz upne tapem, nikdy som asym. sifrovanie neriesil do hlbky) ti asi s prichodzim spojenim pride aj fingerprint kluca. A ten tiez pouzi na vyhladanie
SELECT bla, bla, bla FROM foo WHERE username=? AND fingerprint=?