Cifratura e decrittografia in modo stateless

0

Voglio memorizzare le informazioni sulla sicurezza di alcuni utenti nei cookie, ma voglio crittografarlo in modo che nessuno possa vedere cosa c'è veramente dentro.

E quando il cliente effettua una richiesta, voglio decodificarlo. Quale meccanismo posso utilizzare per ottenere ciò a condizione che non possa memorizzare la "chiave" utilizzata per crittografare poiché ho un meccanismo stateless tra client e server, quindi non posso memorizzare la chiave da qualche parte in sessione.

Grazie.

    
posta Novice User 25.04.2014 - 12:50
fonte

1 risposta

2

Vuoi che il tuo server sia in grado di decodificare i dati e nessun altro. Pertanto, il tuo server deve "sapere" qualcosa che le altre persone non sanno e che "qualcosa" è ciò che i crittografi chiamano una chiave.

Tuttavia, non è necessario che tale chiave sia specifica per l'utente. Può essere una chiave a livello di server. Con crittografia simmetrica , la chiave per crittografare e la chiave per decodificare sono le stesse; questo funzionerà per te se il tuo server è anche il sistema che esegue la crittografia (poiché i valori dei cookie sono impostati dal server, suppongo che questa sia la tua situazione).

Alcune note:

  1. Anche tu vuoi integrità. Nel tuo sistema, l'utente è un potenziale aggressore. Il cookie è sulla sua macchina, quindi potrebbe provare a modificarlo. La crittografia gli impedirà di conoscere il contenuto, ma potrebbe comunque fare delle "ipotesi" e alterarlo. La crittografia non garantisce l'integrità da sola.

  2. La combinazione di crittografia e integrità non è così semplice come sembra. Vedi questa domanda per la teoria e i puntatori su l'argomento.

  3. La chiave a livello di server è informazione sensibile; gestirlo in modo sensato In particolare, non si desidera inviarlo a tutti i backup (perché i nastri oi dischi di backup smarriti / rubati sono un classico meccanismo di perdita), ma non si vuole perdere neanche.

risposta data 25.04.2014 - 16:05
fonte

Leggi altre domande sui tag