Los XML de Telmex marcan "Sello del Emisor Inválido"

[ramonzea]

Hola:
Alguien sabe si hay una manera de hacer en reversa del sellodigital y obtener la cadena original?
Lo que deseo es a partir del selloSAT o selloCFD, leer la información que estas contienen.

Saludos.
Gracias de antemano.
Ramon Zea
www.zeasoftware.com.mx

[RickAlanis]

Eso no se puede hacer.

Hacer el sello es lo siguiente:

a) Crear la cadena original.
b) Aplicar el hash SHA-1
c) Firmar con RSA y llave privada
d) Convertir la firma en Base64 para que sean sólo caracteres legibles para poder incluirlo en el XML

Aplicar el hash es como un dígito verificador, sólo que de 160 bits. SHA-1 toma un texto desde 0 a 2 elevado a la 64a potencia y produce una salida de tamaño fijo. El hecho de cambiar siquiera un bit del documento de entrada produce un hash absolutamente diferente. Pero, al igual que in dígito verificador no te puede decir el número del cual salió, no puedes darle reversa a un hash.

Si lo que quieres es verificar que el sello se haya creado correctamente, puedes ver en este hilo de conversación más o menos cómo hacerlo.

Saludos

[condor0086]

23 de Agosto, no solo no han compuesto las facturas anteriores (no esperaba que lo hicieran), pero la nueva factura de Agosto-Septiembre nuevamente es inválida (sello inválido).

Pero como la empresa Telmex está por encima de la ley, no les importa ni hacen ningún caso.

Saludos.

[ramonzea]

Gracias, no es asi, lo que quiero es saber si a partir del sello, a como viene en el CFD, hacerle reversa para obetener la cadena original, pero al parecer requiero el .Key para hacerlo...

Saludos.

[RickAlanis]

No, no importa que tengas o no el .key (llave pública o privada).
El proceso del SHA-1 es DESTRUCTIVO. Eso quiere decir que no puedes obtener el original a partir de un resultado de un SHA-1. Es un HASH, es algo similar a un dígito verificador. Es para saber si no se ha modificado el original.
Por eso ahora, para el software que se distribuye por internet, existe con frecuencia el SHA-1 o el MD5 (a veces ambos), pero para que sepas que el original es el que ellos subieron y tú estás bajando. Pero a partir de ese SHA-1 que se publica, no puedes obtener todo el software que quieres bajar.
El SHA-1 siempre genera una cadena de 160 bits (20 bytes) sin importar el tamaño del fuente, siempre que se mantenga entre 0 y 2^64 (2 elevado a la 64) bits. Así que, como verás, no se le puede dar "reversa".
Por lo tanto, tampoco puedes, a partir de un SHA-1, obtener la cadena original.
Como te decía antes, si lo que quieres es verificar que ese sello sea correcto, debes sacar la llave pública del certificado que viene en el XML, obtener por cuenta propia la cadena original (con XSLT es la mejor forma) y con OpenSSL verificar que el sello sea correcto. Es lo que puedes hacer.
Saludos.

[Dado]

ramonzea solo por confirmar lo que dice Rick, es imposible sacar la cadena digital a partir del SHA1

De hecho esta situacion es muy importante para almacenar claves, claves en general, para accesar una pagina o la de un banco o lo que sea, en general cualquier clave

La situacion es que cuando un sistema pregunta por primera vez la clave a un usuario NO SE ALMACENA LA CLAVE TAL CUAL se debe almacenar EL SHA1 de la clave

De esa forma si hay un intruso y "roba las claves" en realidad no pasa nada (bueno, casi nada)

Es muy amplio este tema, pero quise hacer mi aportacion al tema

[ramonzea]

Ok, entendido, lo que quiero es identificar que PAC me timbró el CFDi, por que manejo 4 PAC's y no guardaba esa info, y pense que del selloSAT podria obtener dicho dato.

Alguien podría apoyar?

Escucho sugerencias, links, diarios, etc.

Saludos.

[Dado]

Ok, entendido, lo que quiero es identificar que PAC me timbró el CFDi, por que manejo 4 PAC's y no guardaba esa info, y pense que del selloSAT podria obtener dicho dato.

Alguien podría apoyar?

Escucho sugerencias, links, diarios, etc.

Saludos.

Mi validador, el ValidaCFD te identifica que PAC lo timbro, se basa en la relacion Certificado usado >> RFC >> Nombre del PAC

[ramonzea]

Gracias Dado

Para esto podria hacer una basesita de datos con los datos del RFC-Certificado-Nombre PAC ?

O hay alguna que prporcione el SAT?

Saludos.

[Dado]

Estan publicados en el SAT en la lista oficial de los PAC acreditados

Lo malo que hay que hacerlo "a pata", no esta bien organizada la informacion y peor aun, al SAT se le ocurrio jugar a la ruleta rusa cambiando de vez en cuando el orden en el que aparecen los PAC