Domande con tag 'hmac'

4
risposte

Quali sono i requisiti per la chiave segreta HMAC?

Sto creando un servizio HTTP REST che sarà disponibile solo su tls. Per scopi di autenticazione, ho intenzione di generare un token JWT per ogni utente utilizzando HMAC HS256 . Ho bisogno di una chiave segreta per HMAC. Quali sono...
posta 05.08.2015 - 12:49
2
risposte

Qual è la differenza tra HMAC-SHA256 (chiave, dati) e SHA256 (chiave + dati)

C'è qualcosa di diverso nella sicurezza di questi due algoritmi di hashing? HMAC "fonde" i dati e la chiave in un modo speciale che è più sensibile alla sicurezza?     
posta 20.01.2015 - 04:19
1
risposta

Perché non posso usare la stessa chiave per la crittografia e il MAC?

Ho scritto un semplice programma di crittografia file come esempio di come eseguire correttamente la crittografia, ma dopo aver letto domande su crittografia + MAC , penso di aver commesso un errore utilizzando la stessa chiave per entrambi....
posta 22.06.2013 - 19:27
1
risposta

Perché una chiave simmetrica per HMAC?

Sto lavorando per rendere sicura un'API RESTful e sto usando il modello Amazon AWS HMAC come mia guida. Sto lottando con un modo sicuro per archiviare le chiavi simmetriche sulla mia estremità. Qual è la pratica standard? Questa è un'app Web J...
posta 26.04.2013 - 14:42
1
risposta

FIDO, compatibilità U2F

Ho seguito lo standard FIDO (un sistema a chiave pubblica di facile utilizzo simile alle coppie di chiavi SSH) e sembra che sia quasi completo: sia Google che PayPal lo hanno testato internamente per qualche tempo, il Samsung S5 appena annunci...
posta 01.04.2014 - 20:31
3
risposte

Protezione di un'API REST multi-database e multi-database

Sto cercando di migliorare la sicurezza di un'API REST esistente a cui si accede tramite SSL. Il servizio web è multi-tenant, in modo tale che ogni inquilino abbia un TenantId assegnato. Il problema che sto affrontando può essere riassunto co...
posta 23.01.2015 - 15:27
1
risposta

Quando utilizzare HMAC insieme a AES?

Uno dei miei clienti desidera fornire un URL a ciascuno dei suoi clienti per registrarsi in un sistema. Questo URL conterrebbe un parametro stringa di query con alcuni dati (ad esempio codice, e-mail e nome) dai suoi client crittografati utilizz...
posta 14.07.2014 - 23:06
2
risposte

Attacco di tempo contro HMAC nella crittografia autenticata?

In una risposta a un'altra mia domanda , è stato notato che una classe utilizza funzioni di confronto di stringhe standard quando il controllo dell'HMAC nella crittografia autenticata renderebbe la classe vulnerabile agli attacchi temporali con...
posta 08.12.2014 - 16:42
1
risposta

Durante l'autenticazione dei testi cifrati, cosa dovrebbe essere HMACed?

Alcuni hanno sostenuto l'utilizzo di AES-256-CTR con HMAC-SHA- 256 per crittografia autenticata su modalità specifiche AEAD come EAX e GCM. Tuttavia, quando lo fai, quale dovrebbe essere HMAC'd? E come? In particolare: Dovrebbe essere...
posta 21.09.2012 - 01:26
1
risposta

Sicurezza per REST API (utente / pass auth vs hmac vs oauth)

Ho due server (uno su Hetzner (lo chiamo H) e l'altro nel mio ufficio (chiamandolo O)). Ho bisogno di eseguire un servizio web CRUD di base su O e l'unico consumatore del servizio è H. Dati su O sono dati utente sensibili. Questo è un servizio t...
posta 30.07.2013 - 15:01