piątek, 25 stycznia 2019

Time-Stamp Protocol (RFC 3161) + openssl

Serwery TSP:


  
# Plik z danymi:
echo "Hello, World!" >data.txt

# Tworzenie zapytania
openssl ts -query -data data.txt -no_nonce -sha512 -out data.tsq  
openssl ts -query -in data.tsq -text
    
Version: 1
Hash Algorithm: sha512
Message data:
    0000 - 92 16 18 bc 6d 9f 80 59-43 7c 5e 03 97 b1 3f 97   ....m..YC|^...?.
    0010 - 3a b7 c7 a7 b8 1f 0c a3-1b 70 bf 44 8f d8 00 a4   :........p.D....
    0020 - 60 b6 7e fd a0 02 00 88-bc 97 bf 7d 9d a9 7a 9e   `.~........}..z.
    0030 - 2c e7 b2 0d 46 e0 66 46-2e c4 4c f6 02 84 f9 a7   ,...F.fF..L.....
Policy OID: unspecified
Nonce: unspecified
Certificate required: no
Extensions:
  
# Zapytanie z żądaniem certyfikatu podpisującego
openssl ts -query -data data.txt -no_nonce -sha512 -cert -out data-cert.tsq
openssl ts -query -in data-cert.tsq -text
    
Version: 1
Hash Algorithm: sha512
Message data:
    0000 - 92 16 18 bc 6d 9f 80 59-43 7c 5e 03 97 b1 3f 97   ....m..YC|^...?.
    0010 - 3a b7 c7 a7 b8 1f 0c a3-1b 70 bf 44 8f d8 00 a4   :........p.D....
    0020 - 60 b6 7e fd a0 02 00 88-bc 97 bf 7d 9d a9 7a 9e   `.~........}..z.
    0030 - 2c e7 b2 0d 46 e0 66 46-2e c4 4c f6 02 84 f9 a7   ,...F.fF..L.....
Policy OID: unspecified
Nonce: unspecified
Certificate required: yes
Extensions:
  
# Wysyłanie zapytania do serwera 
curl -s -H "Content-Type: application/timestamp-query" \
     --data-binary @data.tsq  \
     http://time.certum.pl -o data.tsr
curl -s -H "Content-Type: application/timestamp-query" \
     --data-binary @data-cert.tsq  \
     http://time.certum.pl -o data-cert.tsr

# Lub wykorzystując tsget
# Może być konieczna instalacja bindingów curla dla perla: apt-get install libwww-curl-perl
/usr/lib/ssl/misc/tsget -h http://time.certum.pl/ -e .tsr -v data.tsr data-cert.tsq
 #> data.tsr: sending request, reply received, ./data.tsr written.
 #> data-cert.tsq: sending request, reply received, ./data-cert.tsr written.

# Informację na temat odpowiedzi
openssl ts -reply -in data.tsr -text
Plik odpowiedzi. Dla pliku data-cert.tsr wygląda tak samo (różni się tylko rozmiar pliku)
    
Status info:
Status: Granted.
Status description: unspecified
Failure info: unspecified

TST info:
Version: 1
Policy OID: 1.2.616.1.113527.2.5.1.11
Hash Algorithm: sha512
Message data:
    0000 - 92 16 18 bc 6d 9f 80 59-43 7c 5e 03 97 b1 3f 97   ....m..YC|^...?.
    0010 - 3a b7 c7 a7 b8 1f 0c a3-1b 70 bf 44 8f d8 00 a4   :........p.D....
    0020 - 60 b6 7e fd a0 02 00 88-bc 97 bf 7d 9d a9 7a 9e   `.~........}..z.
    0030 - 2c e7 b2 0d 46 e0 66 46-2e c4 4c f6 02 84 f9 a7   ,...F.fF..L.....
Serial number: 0x038D7EAE927662
Time stamp: Jan 25 00:17:48 2019 GMT
Accuracy: 0x01 seconds, unspecified millis, unspecified micros
Ordering: no
Nonce: unspecified
TSA: DirName:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum EV TSA SHA2
Extensions:
Pobieramy certyfikaty CA i pośredni (wymagany dla pliku data.tsr) z tej strony: https://www.certum.pl/pl/wsparcie/cert_wiedza_zaswiadczenia_klucze_certum/
 
wget https://www.certum.pl/CTNCA.pem 
wget https://www.certum.pl/pl/upload_module/wysiwyg/zaswiadczenia/Certum_EV_TSA_SHA2/TSA-SHA2.pem

# Weryfikacja
# Odpowiedź z certyfikatem klucza podpisującego
openssl ts -verify -data data.txt -in data-cert.tsr -CAfile CTNCA.pem
# Odpowiedź bez certyfikatów
openssl ts -verify -data data.txt -in data.tsr -CAfile CTNCA.pem -untrusted TSA-SHA2.pem

man openssl ts
man openssl tsget

Brak komentarzy: