Spotkanie z ZUS w przyszlym tygodniu

[Paweł Kołodziej]

Dnia Fri, Aug 01, 2003 at 04:29:41PM CEST, Artur Skura napisał(a):
> Przestali uciekac. Dyr. Luczywo obiecal spotkanie w polowie przyszlego
> tygodnia (na poczatku maja swoje wewnetrzne na ten temat). Trzymajcie
> kciuki.

Niewiem czy nie napisze teraz czegos co jest dla wszystkich oczywiste,
ale co mi tam :)

Z wstepnych ogledzin wynika ze KSI-MAIL to:
1. Certyfikaty to certyfikaty X509 a klucze w nich zawarte
   klucze RSA 1024 bitowe. Certyfikaty ZUS'u mozna wyciagnac z pliku 
   pptt.mdb - to jest plik bazy danych. Mozna ja otworzyc w accesie lub 
   wyciac klucze dowolnym hexeditorem
2. Szyfrowanie jest bardzo podobne do PGP. Dane szyfrowane sa DES3
   (szyfr symetryczny) a klucz DES3 szyfrowany jest RSA
   (asymetryczny).
3. W pliku leca kolejno: losowy (to strzal, ale tak z
   kryptograficzenego punktu widzenia powinno byc) klucz DES3
   zaszyforwany kluczem publicznym RSA ZUS'u. Liczy on 128 bajtow wiec
   prawie napewno sa to 2 klucze DES kazdy po 8 bajtow (w kazdym
   bajcie jeden bit robi za parzystosc - standart). Dwa klucze DES to
   wlasnie jeden klucz DES3
4. Potem leca dane wlasciwe. Sa one spakwane zipem (w programie sa 2
   biblioteki pakujace. Sa to: komercyjny DynaZIP
   (http://www.innermedia.com/dz/) oraz OpenSource zlib
   (http://www.zlib.org). Niewiem dlaczego sa tam az 2 biblioteki.
   Dane sa spakowane ZIP'em i zaszyfrowane DES3. 
5. Na koncu jest certyfikat platnika oraz podpis SHA1RSA danych. Dane
   sa podpisywane przed zaszyfrowaniem, prawdopodobnie rowniez przed
   spakowaniem.
6. Do szyforwania uzyta jest biblioteka ktora wyglada na OpenSSL 0.9.6b 
   9 Jul 2001. Jednak nie jest to dokladnie ta binarka ktora jest
   dosptena na sourceforge. Moze ja przekompilowali lub zrobili jej
   jakas inna krzywde.

Mam nadzieje ze komus to cos pomoze.

Pozdrawiam,
Paweł