Hashing e firma di dati parziali nel payload

0

Sto facendo hashing e firmando parte di un payload prima di HTTP Posting da un dispositivo mobile a un lato server. Il carico utile contiene circa 7 elementi di dati e solo 3 di essi sono sottoposti a hashing / firma utilizzando una chiave privata (RSA), quindi codificati in base 64 e inviati al lato server. I 3 elementi di dati vengono inviati come parametri separati e il server è a conoscenza dell'ordine degli elementi in quel parametro. Dal lato server, dopo la decodifica sto convalidando la firma (dei 3 elementi di dati) usando la chiave pubblica e se ha successo allora mi fido di tutti i 7 elementi di dati (ovvero l'intero documento). La domanda è sicura di fidarsi di tutti i 7 elementi di dati? O dovrei hash / firmare tutti i 7 elementi di dati nel documento prima di fidarsi / utilizzare i dati.

Grazie

    
posta DesignPill 25.04.2016 - 06:52
fonte

1 risposta

2

Una firma crittografica può solo far valere la fiducia sui dati che sta firmando. A meno che non ci sia un modo per convalidare la validità dei campi non firmati in base alla validità dei campi firmati, allora non ci si può fidare dei campi non firmati.

    
risposta data 25.04.2016 - 07:33
fonte

Leggi altre domande sui tag