jasypt integrità del messaggio

Naviga le tue risposte
4

Ho cercato modi per crittografare un token di autenticazione che devo passare da un sito a un altro. Le cose che ho imparato finora sono

  • usa una libreria di alto livello.
  • non utilizzare la BCE
  • usa un HMAC per fornire l'integrità del messaggio.
  • crittografare quindi hash

Quindi nella mia ricerca di una libreria java open source di così facile utilizzo mi sono imbattuto in jasypt . Ma sto scavando un po 'attraverso il codice e sembra non usare alcun HMAC. Quindi mi chiedo se non dovrei usare questa libreria e quali alternative sono adeguate. Preferisco una soluzione java-only (senza collegamenti C).

    
posta JoG 26.01.2013 - 09:29
fonte

3 risposte

1

Suggerirei Keyczar . Questo è un toolkit di crittografia che una volta era stato sviluppato da Google. Ha implementazioni Java, Python e C ++. Per quanto ne so, Keyczar è stato accuratamente testato. Durante quel test è stato trovato e risolto un attacco di temporizzazione. Tuttavia questo è stato l'unico caso finora e lo considererei una buona scommessa.

Il file PDF nel capitolo 8 fornisce alcune informazioni migliori su HMAC. E se guardi la domanda » dovremmo MAC-then-encrypt o encrypt-then-MAC? « a crypto.SE ottieni una risposta più approfondita al caso Encrypt-then-MAC.

    
risposta data 02.04.2013 - 22:39
fonte
0

Penso che il castello gonfiabile sia un'opzione che puoi esaminare. L'ho usato personalmente e ho molte opzioni.

    
risposta data 31.03.2013 - 19:15
fonte
0

Suggerirei di utilizzare solo una modalità di crittografia autenticata (ad esempio, GCM, EAX) anziché preoccuparti di quando dovresti calcolare HMAC. BouncyCastle include diverse opzioni:

link

(Nel tuo caso potresti non avere dati associati, va bene.)

    
risposta data 03.04.2013 - 00:06
fonte

Leggi altre domande sui tag

HTTP su GPRS - è sicuro? Quanto è pericoloso introdurre un virus in un sito Web malevolo in Chrome?