Impressum | Werbung

Geizhals » Forum » Programmierung » Duale Signatur ? (3 Beiträge, 165 Mal gelesen) Top-100 | Fresh-100

^ Forum  Programmierung  #3129843 Duale Signatur ? Frankster 19.01.2006, 14:12:31 Hi! Ich hätte da eine Frage zu der Dualen Signatur im SET-Verfahren. Der Kunde erstelle einen "Message Digist" von den Bestelldaten und einen "Message Digist" von den Zahlungsdaten. Zahlungsdaten werden mit dem öffentlichen Schlüssel vom Payment Getway verschlüsselt. Bestelldaten werden mit dem öffentlichen Schlüssel vom Händern verschlüsselt. Die beiden "Message Digist" werden zusammen gefügt und mit meinem privaten Schlüssel  verschlüsselt ==> Duale Signatur Ich schick alles dem Händler. Händler entschlüsselt Duale Signatur und die Bestelldaten Händler schickt Message Digist von den bestelldaten + duale Signatur + Zahlungsdaten weiter an den Payment Getway. ---------------------------------------------------------------------------------- Was ich jetzt nicht verstehe ist Die duale Signatur besteht aus 2 einzelnen MD´s oder bestehen die aus der Summe 2er MD´s ? Weil wie will der Händler kontrollieren das die Daten unverändert angekommen sind, wenn er den MD von den Zahlungsdaten nicht hat ? Weil erstellen kann er den MD von den Zahlungsdaten ja auch nicht, weil die sind verschlüsselt und kann nur vom Payment Getway entschlüsselt werden. Der Message Digist bezieht sich ja immer auf die Klartextnachricht oder ? ---------------------------------------------------------------------------------- Der Payment Getway hat ja den MD von den Bestelldaten und kann sich den MD von den Zahlungsdaten errechnen, somit kenn er die Duale Signatur verwenden. ---------------------------------------------------------------------------------- Duale Signatur sagt ja aus, dass sie einen Zusammenhang zwischen zwei Nachrichten herstellt. In meinem Fall sind dies die Bestelldaten und die Zahlungsdaten. ---------------------------------------------------------------------------------- MD == Message Digist Vielen Dank im voraus Frankster ^ Forum  Programmierung  #3130558 Versuchte Antwort... gepeinigter_aon_neukunde 19.01.2006, 17:55:51 Hi ! Das von Dir genau geschilderte Verfahren kenn ich nicht - aber ich versuch's mal mit Grundwissen . Also alles ohne Gewähr. S(a,x) sei den Private (Secret) Key von a auf Message X anwenden, M(x) sei MD5 berechnen, P(a,x) sei den Public key von a auf Message X anwenden, B seien die Bestelldaten, Z seien die Bezahldaten. "." sei anfügen. Du machst also mal M(Z), M(B), P(Payment Gateway,Z) und P(Händler,B) Dann machst du ein S(ich,M(Z) . M(B)) - und schickst ihm alles. Durch die Verschlüsselung habt ihr euch wechselweise autentifiziert - denn nur er kann die Mail lesen und nur du kannst der Absender gewesen sein. Der Händler kann jetzt P(ich,S(ich,M(Z) . M(B) . ...)) durchführen - und erhält M(Z),M(B),P(Payment Gateway,Z) und B Sinnvoller könnte sein, wenn er statt M(Z) den M(P(Payment Gateway,Z)) erhält (da wolltest wohl hin) - aber schauen wir mal. Händler schickt Message Digist von den bestelldaten + duale Signatur + Zahlungsdaten weiter an den Payment Getway Das Payment Gateway kann nun - prüfen, on wirklich du der Auftraggeber warst  - genauso wie der Händler (durch anwenden deines Public key). - Prüfen, ob der von mir mitgeschickte  MD noch derselbe ist wie der beim Händler - und damit die Bezahlung für eine Bestellung einleiten, deren Message Digest XYZ war. Dadurch ist gewährleistet, daß der Händler nicht beshicen kann. Der Witz liegt als darin, daß durch das dauernde P(S(...)) gewährleistet ist, - daß niemand unautorisierter Mitliest - niemand die Nachricht verfälschen kann - denn jeder kann für seinen Teil überprüfen, ob M(X) nocht stimmt Ich vermute, daß dein Problem folgendes ist: Das zusammenfügen der beiden MD's bedeutet vermutlich, daß die sehr wohl noch beide getrennt für jeden auslesbar sind. Beide (Händler und Gateway) haben also beide MD's zur Verfügung. Jeder kann von seinem Teil überprüfen, ob die Daten korrekt sind. Der Händler kann also seinen Teil entschlüsseln und anhand des MD sehen, ob der für ihn relevante Teil korrekt ist. Das Payment Gateway kann überprüfen, ob seine Daten korrekt sind. Zusätzlich habt ihr 3 dieselben MD's - also kann man klar sehen, daß die Bestellung korrekt abgelaufen ist, wenn jeder bei seinem Teil den MD anwendet. Sobald ein einziger MD net paßt, wird wohl die gesamte Bestellung ungültig sein, denn dann wurden irgendwo Daten modifiziert. ^ Forum  Programmierung  #3132224 Re: Versuchte Antwort... Frankster 20.01.2006, 10:59:46 Jep gestern hab ich eine gute Seite gefunden Ich schicke den MD von den Zahlungsdaten auch an den Händler. Das bedeutet ich schicke dem Händler die Bestelldaten + die Signatur von den Zahlungsdaten an den Händler. Diese Daten sind mit dem öffentlichen Schlüssel des Händlers verschlüsselt Die Duale Signatur setzt sich aus den MD´s von Händler und Paymentgetway daten zusammen. Jetzt kann sich der Händler den MD von den verschickten Bestelldaten errechnen. Hat auch den MD von den Zahlungsdaten. Beide fügt er zusammen und hat SEINE erzeugte Digitale Signatur. Jetzt entschlüsselt er meine Digitale Signatur und vergleicht beide. Somit ist ein Zusammenhand zwischen Bestelldaten und Zahlungsdaten hergestellt worden und er kann auch gleich überprüfen ob eh nichts manipuliert wurde. http://user.cs.tu-berlin.de/~tron/ecs-ausarbeitung/Sicherheit-Ausarbeitung-V1_1.html Vielen Dank!!!! Frankster

 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung