Domande con tag 'hmac'

domande con tag
1
risposta

È possibile utilizzare un HMAC TLS dopo il fatto per verificare l'autenticità di un messaggio? [duplicare]

Se dovessi acquisire una sessione TLS (e segreti condivisi) tra me e un sito web gestito da un'altra parte, potrei in seguito utilizzare l'HMAC (o qualcos'altro?) per verificare a terzi l'autenticità del dati scaricati, cioè prova che non l'ho...
posta 24.05.2017 - 23:44
1
risposta

In che modo un utente malintenzionato può eseguire il downgrade / modifica delle suite di crittografia quando sono MAC? (Freak, Logjam usa attacchi di downgrade)

Nell'handshake di Finished di TLS tutti i messaggi precedenti scambiati vengono inviati dal client al server (e invertiti) e protetti da un MAC. Questo è anche ciò che "impedisce "TLS_FALLBACK_SCSV da essere modificato / eliminato da un u...
posta 21.02.2016 - 12:15
1
risposta

Controlla HMAC dopo aver completato la decodifica o prima?

Ho scritto un software che codifica simmetricamente file di grandi dimensioni (multi-megabyte). Il testo normale è crittografato, dopo la crittografia l'HMAC viene calcolato e scritto nell'intestazione del file. Durante la crittografia, aggiorno...
posta 24.06.2015 - 15:20
1
risposta

HMAC con la stessa chiave e lo stesso messaggio

im utilizzando HMACSHA256 per generare l'hash della password e memorizzarlo. l'obiettivo qui è quello di autenticare gli utenti, ad esempio - salvare le password con hash e convalidare gli utenti ogni volta che è necessario utilizzando le passwo...
posta 03.02.2015 - 11:42
1
risposta

Protezione sicura tra reindirizzamento dal dominio A al dominio B

Sto costruendo un'estensione speciale (sul dominio B) al presente e-commerce ospitato su un dominio A. L'obiettivo è reindirizzare l'utente da A a B e viceversa. Simile alla tecnica in cui l'utente lascia il sito di e-commerce sull'interfaccia w...
posta 01.11.2014 - 12:31
3
risposte

Rileva manomissione del messaggio senza chiave condivisa e senza autorità di certificazione

È possibile rilevare se un messaggio è stato manomesso, senza utilizzare MAC (cioè la chiave condivisa) e senza utilizzare una terza parte "fidata" (cioè l'autorità di certificazione)? Sono abbastanza sicuro che non lo sia, ma vorrei solo ess...
posta 17.03.2014 - 05:43
1
risposta

Confuso sul modo più pertinente per proteggere le mie API

Possiedo un'applicazione JavaScript (Single Page Application) che colpisce alcuni apis dal mio backend RESTful. Quello che mi aspetto per il mio meccanismo di autenticazione / (autorizzazione) è tre cose: Prevenzione di tutti i modi malig...
posta 17.04.2014 - 17:32
1
risposta

Utilizza il parametro D della chiave privata come segreto HMAC per JWT in un ambiente con bilanciamento del carico

Devo utilizzare una firma per un JWT che deve essere creato o verificato su 12 server diversi in esecuzione in un ambiente con bilanciamento del carico. Hanno già la stessa coppia di chiavi RSA memorizzata nell'archivio certificati di Windows ut...
posta 02.05.2018 - 16:56
1
risposta

Token di sicurezza per l'esposizione esterna: UUID o HMAC / JWT / hash?

Sto costruendo il back-end per un'app web. Quando un nuovo utente accede al sito e fa clic sul pulsante Iscriviti , verrà compilato un modulo super semplice chiedendo loro il nome utente + la password e invieranno. Questo richiede al server di...
posta 09.01.2018 - 16:13
1
risposta

Il server TLS 1.0 / 1.1 firma il digest del messaggio con la sua chiave privata?

Dopo che un server abilitato a TLS genera un message digest (HMAC), firma il digest utilizzando la chiave privata di una coppia di chiavi asimmetriche, formando una firma digitale? Sono più interessato a sapere se la maggior parte dei server...
posta 16.06.2017 - 23:15