C'è un valore nella firma delle chiamate microservice con un HMAC derivato dalla stessa chiave privata?

2

Avevo un amico che diceva:

We're securing our microservice with an HMAC derived from the private key in the jks file. [Where client and server shared the same private key]

Riesco a capire la situazione in cui hai un HMAC da un segreto di breve durata, come uno derivato da Hashicorp Vault .

Ma se HMAC ha la stessa durata delle chiavi private, perché non proteggere il microservizio utilizzando SSL basato sulle chiavi private hai già installato?

La mia domanda è: C'è un valore nel firmare le chiamate microservice con un HMAC derivato dalla stessa chiave privata?

    
posta hawkeye 23.03.2017 - 10:55
fonte

1 risposta

1

Se client e server condividono la stessa chiave privata, la chiave privata diventa fondamentalmente un segreto simmetrico, annullando quindi qualsiasi caso d'uso rilevante per SSL, o, FWIW, qualsiasi schema di firma.

È fondamentalmente integrità senza autenticità.

    
risposta data 25.03.2017 - 11:37
fonte

Leggi altre domande sui tag