Pensieri su Tiny Encryption Algorithm (TEA, chiunque)?

Naviga le tue risposte
1

Sto pianificando di implementare Tiny Encryption Algorithm e di scambiare dati tra due siti PHP.

In particolare, utilizzando il codice presentato su PHP-einfach.de

Qualcuno ha esperienze / pensieri / commenti sull'uso di questo algoritmo? (a parte il motivo per cui lo stai usando)

Background: è un codice che ho intenzione di inserire in un modulo drupal. il modulo drupal consente agli utenti autenticati di quel sito di connettersi al mio sito. Sto pianificando di dare dei pulcini segreti a questi proprietari di siti drupal. Il codice sul sito drupal crittograferà i dati: "userid-commandid-time" con l'apikey e mostrerà questo come un campo nascosto in un modulo. I loro utenti che invieranno tale modulo verranno reindirizzati al mio sito con questi dati crittografati. Quando lo avrò, lo decreterò usando la mia copia di apikey e controllando gli altri valori dei dati. Il tempo viene inviato per rendere valida la richiesta solo per un periodo di tempo limitato.

Inoltre, ho considerato oauth, ma siamo più avanti nel nostro ciclo di sviluppo e il lavoro è praticamente finito. il sistema non deve essere sicuro al 100%, sarà esposto a un numero limitato di persone (gli utenti del modulo drupal). deve solo essere abbastanza ragionevole da dissuadere la maggior parte dei burloni aspiranti. ottenere l'accesso alla chiave e la nostra metodologia di crittografia consentirebbe al massimo l'accesso hacker (ma limitato) al nostro sistema.

    
posta siliconpi 21.04.2011 - 12:52
fonte

2 risposte

9

Il TEA è critto- graficamente rotto. I suoi successori XTEA e XXTEA si comportano molto meglio a tale riguardo. Inoltre, le prestazioni degli algoritmi * TEA non sono molto buone.

Il punto buono di TEA è la dimensione minuscola del codice: questo è un grande vantaggio in situazioni in cui la dimensione del codice è limitata, ad es. quando vuoi imparare il codice a memoria, o quando il codice fa parte di un software scaricato spesso (ad esempio un'implementazione di Javascript). Questo non si applica a un'implementazione PHP, che rimane lato server. Quindi non ha molto senso usare TEA o XTEA e il mio consiglio sarebbe quello di attenersi a un algoritmo di crittografia più veloce, più sicuro e più standard (ad esempio AES, noto anche come Rijndael).

(Inoltre, la crittografia è solo una parte di un protocollo di scambio dati, è necessario anche un qualche tipo di protezione dell'integrità, e c'è tutta la questione della gestione delle chiavi.Una raccomandazione consueta è fare affidamento su un protocollo esistente che copre già tutte le dettagli, in primo luogo SSL / TLS.)

    
risposta data 21.04.2011 - 14:33
fonte
3

Sono d'accordo con Thomas Pornin il precedente post.

Ho anche alcuni commenti su come si esegue il metodo di autenticazione cross-site. Raccomando di eseguire l'autenticazione sul lato server. invece di dare all'utente le informazioni di autenticazione gli danno invece un valore casuale unico. Poi invia anche quel valore al sito al quale il client deve accedere e chiedigli di restituire all'utente che presenta quel valore casuale.

    
risposta data 21.04.2011 - 14:50
fonte

Leggi altre domande sui tag

Conosco sale e hash (password + sale), come posso ottenere hash (password)? La salatura di un hash è più sicura rispetto alla crittografia?