Le versioni recenti di ASP.NET implementano una corretta crittografia autenticata?

4

È stato scoperto prima che ASP.Net non utilizza il diritto di crittografia autenticato (ad es. qui ), hanno usato Mac-then-Encrypt che hanno portato ad alcuni attacchi pratici. Quindi mi chiedo se uso FormsAuthentication.Encrypt() ora (con le ultime patch per asp.net 4), userà il corretto Encrypt-then-MAC?

    
posta Ilya Chernomordik 03.02.2016 - 13:54
fonte

1 risposta

2

FormsAuthentication.Encrypt() ora usa lo schema encrypt-the-MAC sia su IV che sul testo cifrato, quindi sì, ora è fatto correttamente.

Come nota a margine, dipende dall'elemento machinekey per determinare quale crittografia e algoritmi MAC sono usati, vale la pena ricontrollare la tua configurazione per assicurarti di essere configurato per utilizzare AES o Auto (che risolve in AES) e non DES (debole) o TripleDES (lento).

    
risposta data 04.02.2016 - 15:47
fonte

Leggi altre domande sui tag