Come funziona la firma OpenID senza una chiave condivisa?

Naviga le tue risposte
2

Segue la mia comprensione: un'app di terze parti reindirizza a un OP per l'autenticazione. Una volta completata l'autenticazione, l'OP reindirizza nuovamente all'app di terze parti.

Inoltre, restituisce nella stringa di query un numero di parametri e restituisce anche una firma. La mia domanda è: in che modo l'app di terze parti verifica la firma. A quanto ho capito, avrà bisogno di una chiave condivisa per farlo, ma non vedo quella condivisa nel reindirizzamento iniziale all'OP?

Ora supponendo che una chiave sia stata condivisa, qual è l'uso, dato che la comunicazione può essere sniffata e manipolata.

    
posta murtaza52 24.07.2012 - 09:24
fonte

1 risposta

1

Secondo la specifiche openid , una chiave condivisa è (facoltativamente) stabilita tra l'OP e la parte richiedente usando un scambio chiave Diffie-Hellman

Diffie-Hellman è uno dei protocolli di accordi chiave che consentono due parti di stabilire una chiave segreta senza una terza parte sapendo qual è quella chiave.

The Relying Party verifies the information received from the OP including checking the Return URL, verifying the discovered information, checking the nonce, and verifying the signature by using either the shared key established during the association or by sending a direct request to the OP.

Se la chiave condivisa è affidabile, qualsiasi contenuto modificato dovrebbe fallire nella verifica della firma. Questa verifica viene eseguita dalla Relay Party o dall'applicazione Web che cerca di verificare le credenziali OpenID.

    
risposta data 24.07.2012 - 12:05
fonte

Leggi altre domande sui tag

Classificazione degli attacchi in rete specialmente in Snort IDS Sicurezza del proxy decifrante asimmetrico