C'è un valore nella firma delle chiamate microservice con un HMAC derivato dalla stessa chiave privata?

Naviga le tue risposte
2

Avevo un amico che diceva:

We're securing our microservice with an HMAC derived from the private key in the jks file. [Where client and server shared the same private key]

Riesco a capire la situazione in cui hai un HMAC da un segreto di breve durata, come uno derivato da Hashicorp Vault .

Ma se HMAC ha la stessa durata delle chiavi private, perché non proteggere il microservizio utilizzando SSL basato sulle chiavi private hai già installato?

La mia domanda è: C'è un valore nel firmare le chiamate microservice con un HMAC derivato dalla stessa chiave privata?

    
posta hawkeye 23.03.2017 - 10:55
fonte

1 risposta

1

Se client e server condividono la stessa chiave privata, la chiave privata diventa fondamentalmente un segreto simmetrico, annullando quindi qualsiasi caso d'uso rilevante per SSL, o, FWIW, qualsiasi schema di firma.

È fondamentalmente integrità senza autenticità.

    
risposta data 25.03.2017 - 11:37
fonte

Leggi altre domande sui tag

C'è qualcosa di sbagliato nell'usare lo stesso nome utente per tutti gli utenti api con l'autenticazione di base HTTP? Come far firmare le chiavi di OpenPGP?