Отправлено: 20.09.16 17:17. Заголовок: Приобретение модуля для Huawei терминалов

Коллеги! Может быть кто-то обладает рабочим модулем для Huawei ВКС терминалов ( Полнофункциональным)
Готов рассмотреть сотрудничество в этом вопросе. )

 Отправлено: 07.05.18 18:05. Заголовок: olegny пишет: passw..

olegny пишет:

цитата:

password: string consisting of 64 characters. The string is generated by encrypting the user name, password, and session ID using the SHA256 algorithm

Я может чего-то не понимаю, но где здесь сказано каким образом замешивать?

 Отправлено: 07.05.18 18:08. Заголовок: В simpl+ не знаю (ск..

В simpl+ не знаю (скорее всего нет), а в S# он есть.

SHA256 (как наверное и все хэши) устроен так, что "замешивать" туда данные можно постепенно, т.е. добавлять поочереди. Так и делайте.

 Отправлено: 07.05.18 18:28. Заголовок: А что там двусторонн..

А что там двусторонний обмен ключами? Может просто внешним онлайн калькулятором разок "замешать" и строго настрого сказать, чтоб пароль потом не меняли.

 Отправлено: 07.05.18 19:54. Заголовок: Там же Session Id пр..

Там же Session Id присутствует для того как раз, чтобы хэш не был всякий раз один и тот же. Иначе его можно было бы стырить точно так же, как и пароль.

P.S. И нет, обмен там скорее всего отсутствует и сам трафик нешифрованный. Потому и такие заморочки с паролем, что надо его передать one-way encrypted.

 Отправлено: 08.05.18 00:28. Заголовок: olegny пишет: а в S..

olegny пишет:

цитата:

а в S# он есть.

Какими функциями реализуется, если не секрет?

 Отправлено: 08.05.18 00:41. Заголовок: olegny пишет: SHA25..

olegny пишет:

цитата:

SHA256 (как наверное и все хэши) устроен так, что "замешивать" туда данные можно постепенно, т.е. добавлять поочереди. Так и делайте.

Вот пример от производителя пришел:
/* The sha256_digest function is a JavaScript implementation of the SHA256
encryption algorithm. */
data. password = sha256_digest("api"+ ':' + "api" + ':' + sessionId);

И сколько, интересно по времени я должен "замешивать" исходя из "хорошего" руководства??? Вопрос, риторический...

 Отправлено: 08.05.18 01:50. Заголовок: Ну или так. Так кон..

Ну или так. Так конечно проще с точки зрения применения алгоритма хэширования.
Не понятно только зачем им понадобились двоеточия... Приколисты! )) Могли бы обойтись простой конкатенацией.
Из примера правда не понятно какого типа собственно "password", т.е. возвращаемое значение sha256_digest.

Что значит сколько "замешивать"? В смысле сколько по времени эта функция будет работать над результатом?

 Отправлено: 08.05.18 08:53. Заголовок: olegny пишет: Что з..

olegny пишет:

цитата:

Что значит сколько "замешивать"? В смысле сколько по времени эта функция будет работать над результатом?

Методом перебора я должен найти эту волшебную комбинацию?)) "api"+ ':' + "api" + ':' + sessionId. В документации об этом не слова, это к качеству документации и таких косяков там хоть отбавляй...

 Отправлено: 08.05.18 10:21. Заголовок: А что за api? Логичн..

А что за api? Логично было бы login:password. SessionID уже отдельно после процедуры авторизации к каждой команде

 Отправлено: 08.05.18 11:48. Заголовок: "api" у них ..

"api" у них судя из корявого примера и логин и пароль.

цитата:

data.user = "api"; //User name data.password = sha256_digest("api"+ ':' + "api" + ':' + sessionId);

data.password = sha256_digest(login+':'+password+':'+sessionId);

 Отправлено: 08.05.18 12:40. Заголовок: В примере выше было ..

В примере, выше было написано - User - api, pass - api

 Отправлено: 08.05.18 16:38. Заголовок: gon3ales пишет: Мет..

gon3ales пишет:

цитата:

Методом перебора я должен найти эту волшебную комбинацию?)) "api"+ ':' + "api" + ':' + sessionId. В документации об этом не слова, это к качеству документации и таких косяков там хоть отбавляй...

Ничего не понимаю. Зачем что-то перебирать? Они написали как они это делают на стороне сервера и, соответственно, вы должны делать все точно также на клиенте. Иначе хэши не будут одинаковыми.

 Отправлено: 08.05.18 16:41. Заголовок: Вячеслав пишет: А ч..

Вячеслав пишет:

цитата:

А что за api? Логично было бы login:password. SessionID уже отдельно после процедуры авторизации к каждой команде

Я уже говорил, что SessionID (как переменная) нужен для того, чтобы хэши были разными каждый раз. Вообще, это все их самодеятельность, ибо есть стандарт для этого - PBKDF2

 Отправлено: 08.05.18 16:47. Заголовок: gon3ales пишет: Как..

gon3ales пишет:

цитата:

Какими функциями реализуется, если не секрет?

Посмотрите на класс: Crestron.SimplSharp.Cryptography.HMACSHA256

P.S. Похоже облом. HMAC это о другом. Чистого SHA256 не дано так, что... надо пожаловаться, чтобы добавили! ))

 Отправлено: 08.05.18 16:59. Заголовок: как вариант попробут..

как вариант попробуте SSMonoCryptographyLibrary.dll

http://www.nivloc.com/downloads/crestron/SSharp/include4.dat%20=%202.07.012%20-%20Plugin%202.x/

если есть доступ к железке, то через wireshark запрос/ответ

у вас на руках будет логин, пароль, номер сессии + их SHA256 хэш. дальше методом тыка придётся понять какой ххх256(хрень1) генерирует хрень2 идентичную нужной

 Отправлено: 08.05.18 18:29. Заголовок: DmitriiP пишет: у в..

DmitriiP пишет:

цитата:

у вас на руках будет логин, пароль, номер сессии

Каким образом у вас будет пароль? Если бы они передавали его открыто, то зачем тогда нужен был бы хэш?!

 Отправлено: 08.05.18 18:52. Заголовок: из всего что я напис..

из всего что я написал вы обратили внимание вообще не на то :))) пароль и логин ненужны (они вроде как известны) из wireshark нужны sessionId и конечный SHA256 hash, чтоб понять какой из алгоритмов SHA у крестрона подходит.

 Отправлено: 08.05.18 19:05. Заголовок: Ну как написали, так..

Ну как написали, так и понял! ))
Создалось впечатление, что вы не знаете ничего и хотите их хакнуть... ;)
А кто посчитает этот самый хэш, который вы хотите увидеть wireshark-ом?
Есть какой-то работающий клиент, который может общаться с терминалом?

Насчет алгоритмов... оный указан явно и сомнению не подлежит, а вот с Крестроном сложнее. Как я уже написал выше - облом!
У них в S# только SHA1 и HMAC-256. Ни то, ни другое не подходит... (( Надо требовать чтобы довавили!

 Отправлено: 08.05.18 19:20. Заголовок: olegny пишет: Ну ка..

olegny пишет:

цитата:

Ну как написали, так и понял! )) Создалось впечатление, что вы не знаете ничего и хотите их хакнуть... ;) А кто посчитает этот самый хэш, который вы хотите увидеть wireshark-ом? Есть какой-то работающий клиент, который может общаться с терминалом? Насчет алгоритмов... оный указан явно и сомнению не подлежит, а вот с Крестроном сложнее. Как я уже написал выше - облом! У них в S# только SHA1 и HMAC-256. Ни то, ни другое не подходит... (( Надо требовать чтобы довавили!

а я и незнаю ;) я эту железку никогда не видел. хакать нехочу, но еслиб понадобилось :))))
в документации пример на JavaScript . если нет (работающего клиента) никто не мешает использовать броузер.

P.S. в SSMonoCryptographyLibrary поболе алгоритмов SHA ;)

 Отправлено: 08.05.18 19:34. Заголовок: DmitriiP пишет: P.S..

DmitriiP пишет:

цитата:

P.S. в SSMonoCryptographyLibrary поболе алгоритмов SHA ;)

Ну это все левые библитеки так, что на любителя! ;)