Décodez un signmii
Encoder un signmii consiste à fabriquer un marquage en concaténant un SHA1 en hexadécimal de 20 octets, un horodatage GMT de 4 octets et un numéro de série de 8 octets, à calculer le SHA1 de ce marquage en hexadécimal, à concaténer ce SHA1 avec le marquage, et à chiffrer le tout avec la partie privée d'une clé RSA de 2048 octets. Le résultat fait 256 octets. Pour faciliter l'affichage et le transport d'un signmii, ces 256 octets sont ensuite encodés en BASE64 puis filtrés pour remplacer les caractères + (PLUS) et / (BARRE OBLIQUE) du format BASE64 par les caractères - (TIRET) et _ (SOULIGNÉ) compatibles avec le format d'une URL. Un signmii fait 342 octets.
Téléchargez le certificat signmiikey.crt contenant la clé publique qui vous permettra de décoder un signmii.
L'empreinte du certificat est :
13:B0:CD:83:00:EB:B8:4A:68:BB:C5:BE:31:84:82:8E:97:14:69:6E
Vous pouvez la contrôler avec la commande openssl
 :
$ openssl x509 -in signmiikey.crt -fingerprint -noout
SHA1 Fingerprint=13:B0:CD:83:00:EB:B8:4A:68:BB:C5:BE:31:84:82:8E:97:14:69:6E
Téléchargez le script checksignmii.php qui contient le programme en PHP que vous exécuterez pour décoder un signmii avec le certificat signmiikey.crt.
Le script checksignmii.php lit un fichier qui contient un signmii, le décode avec la clé publique incluse dans le fichier signmiikey.crt et affiche le SHA1, l'horodatage et le numéro de série chiffrés dans le signmii.
- define('USAGE', 'php -f %s signmiifile [certfile]');
La constante USAGE
définit le bon usage de la commande.
- $certfile='signmiikey.crt';
Initialise $certfile
avec le nom du fichier contenant le certificat avec la clé publique.
- function abort($msg, $code=1) {
- echo $msg, PHP_EOL;
- exit($code);
- }
La fonction abort
affiche $msg
et quitte le programme en retournant le code d'erreur $code
.
- function usage() {
- global $argv;
- abort(sprintf(USAGE, basename($argv[0])), 1);
- }
La fonction usage
quitte le programme en affichant l'usage de la commande.
Le nom du programme remplace le %s
de la constante USAGE
.
- function urldecodebase64($s) {
- $s64 = str_replace(array('-', '_' ), array('+', '/'), $s);
- $mod4 = strlen($s64) % 4;
- if ($mod4) {
- $s64 .= substr('====', $mod4);
- }
- return base64_decode($s64);
- }
La fonction urldecodebase64
inverse l'encodage en BASE64 d'un série d'octets où les caractères + (PLUS) et / (BARRE OBLIQUE) du format BASE64 ont été remplacés par les caractères - (TIRET) et _ (SOULIGNÉ) compatibles avec le format d'une URL.
- if (!($argc == 2 or $argc == 3)) {
- usage();
- }
- $infile=$argv[1];
- if ($argc == 3) {
- $certfile=$argv[2];
- }
Vérifie le nombre d'arguments passés à la commande. Extrait le nom du fichier contenant le signmii et le nom du fichier du certificat avec la clé publique si la commande a 2 arguments.
- $lines=file($infile, FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES);
- if (!$lines) {
- abort('signmii?');
- }
Lit le fichier contenant le signmii. Quitte le programme si le fichier est vide.
- $s64='';
- foreach ($lines as $s) {
- if ($s[0] != '#') {
- $s64=$s;
- break;
- }
- }
- if (strlen($s64) != 342) {
- abort('signmii?');
- }
Saute les lignes de commentaires lues dans le fichier. Vérifie que le résultat fait 342 caractères.
- $crypto=urldecodebase64($s64);
- if (strlen($crypto) != 256) {
- abort('signmii?');
- }
Décode l'encodage en BASE64 avec la fonction urldecodebase64
. Vérifie que le résultat fait 256 octets.
- $pem=@file_get_contents($certfile);
- if (!$pem) {
- abort('certfile' . '?');
- }
- $key=openssl_pkey_get_public($pem);
- if (!$key) {
- abort('certfile' . '?');
- }
- $r=openssl_public_decrypt($crypto, $sdata, $key);
- if (!$r) {
- abort('signmii' . '?');
- }
Lit le certificat et en extrait la clé publique. Décode le signmii au format binaire avec la clé publique.
- $digest=substr($sdata, 0, 20);
- $data=substr($sdata, 20, 32);
- if ($digest != sha1($data, true)) {
- abort('signmii' . '?');
- }
Vérifie l'empreinte du signmii.
- $sha1bin=substr($data, 0, 20);
- $r=unpack('H*', $sha1bin);
- $sha1=$r[1];
- $gmtbin=substr($data, 20, 4);
- $r=unpack('N', $gmtbin);
- $gmt=gmdate('Y-m-d\TH:i:s\Z', $r[1]);
- $serialbin=substr($data, 20+4, 8);
- $r=unpack('H*', $serialbin);
- $serial=$r[1];
Extrait le SHA1, l'horodatage et le numéro de série contenus dans le signmii décodé.
- echo $sha1, ' ', $gmt, ' ', $serial, PHP_EOL;
Affiche le SHA1, l'horodatage et le numéro de série séparés par un espace.
EXEMPLE
# ed0847ae3231350b0153cd8b9c8f56b87ab37801 2014-05-19T21:36:11Z 0000000000000001
uIWPRlfPaB8VgkTHIg8IoTe72WtTLgL_vGoWjY8PfM9fFjwXb8LmvMsMGKVUUTvJOy-z536BC-GMCOaDDdHhcWqGEYyUlXULwwGBXQL7drGnnbTa0H4bCD1YME6H9q7xIdMqlD9pIS-CIAsAo1SYguOhHP9bBlZ_7vk91gmKmxJQi6ril_UlvUmvmjJbUSnoyvDBLPcOWTa0hPDiPKnLifaimHHzkKfLtD9Ck2DAam9G3q3ME0zayVOTTlFdyPsOwvM6SvOMqAi-iBV40Bg5Ky4wKJztDMiCCBCdx3k-jvMfVtZM61MoIDNaICeI59UYE-HL8cPX3CcRphXYdFmRHg
NOTE : Le fichier peut contenir des lignes de commentaires commençant par un # (DIÈSE) et des lignes vides.
Copiez les 3 fichiers signmiikey.crt, checksignmii.php et 1.signmii dans le même dossier.
Exécutez le script checksignmii.php avec php
en passant le nom du fichier contenant le signmii en argument :
$ php -f checksignmii.php 1.signmii
ed0847ae3231350b0153cd8b9c8f56b87ab37801 2014-05-19T21:36:11Z 0000000000000001
Vous pouvez ajouter le nom du fichier contenant le certificat à la ligne de commande :
$ php -f checksignmii.php 1.signmii signmiikey.crt
ed0847ae3231350b0153cd8b9c8f56b87ab37801 2014-05-19T21:36:11Z 0000000000000001
Commentaires