Domande con tag 'nonce'

2
risposte

Prevenire la reinvio e la replica dell'attacco utilizzando il client nonce nell'API REST

Ho un backend API REST che ha HTTPS (e HTTP bloccato) e utilizzo JWT come meccanismo di autenticazione. Il lato client è l'app iOS / Android. Voglio aggiungere un livello di protezione sull'API critica utilizzando il client nonce per impedire (p...
posta 03.08.2016 - 05:02
3
risposte

AES utilizza lo stesso rischio di sicurezza Nonce?

Se utilizzo AES-GCM e crittografa i dati con una chiave a 128 bit e utilizzo sempre la stessa Nonce. Sta usando lo stesso nonce un rischio per la sicurezza? Un hacker può indovinare la chiave? Oppure il Nonce serve solo a verificare che il...
posta 13.09.2016 - 22:37
3
risposte

Qual è l'uso di nonces nelle API HTTPS

Ho usato API che richiedono un nonce per ogni richiesta. Se le richieste HTTPS non sono riproducibili, vedi qui link , qual è la ragione per richiedere nonce per le API HTTPS? Serve solo a garantire che i consumatori legittimi non emettano r...
posta 24.07.2017 - 19:33
1
risposta

È questo il flusso corretto dell'attacco KRACK?

Non sono un esperto di crittografia quindi ti prego di perdonare questa domanda di base. Sto cercando di capire come avviene il flusso dell'attacco KRACK per capire meglio perché il protocollo di crittografia stesso può essere rotto. Consente...
posta 22.10.2017 - 21:05
2
risposte

Protocollo di autenticazione di terze parti

Ho un dispositivo hardware (H) , telefono (P) e server web (S) . Vorrei che P sia in grado di inviare comandi a H , ma solo se è autorizzato a farlo. Le autorizzazioni sono memorizzate sul server. Tecnicamente potrei farlo...
posta 08.05.2015 - 21:24
3
risposte

Verifica l'hash della password con nonce quando la password è già stata sottoposta a hashing sul server?

Ho trovato questa immagine nell'articolo di Wikipedia nonce : Per evitare di inviare la password in chiaro e impedire attacchi di riproduzione, la password viene cancellata con un numero casuale dal server ( nonce ) e uno dal clien...
posta 03.02.2016 - 17:40
1
risposta

Va bene aggiungere il nonce / iv al testo cifrato quando si utilizza AES GCM?

Voglio utilizzare AES GCM per crittografare i dati a riposo. Durante il recupero dei dati, voglio assicurarmi che la chiave sia valida e che i dati non siano stati mitigati. Posso memorizzare il nonce / iv insieme al testo cifrato nel database?...
posta 28.05.2016 - 21:41
2
risposte

come memorizzare e recuperare il nonce nella pratica

Poiché nonce dovrebbe essere casuale e usato una sola volta, quando si riceve un nonce, ho bisogno di controllarlo con tutti i precedenti record di nonce. Ciò significa che ho bisogno di un database per archiviare ogni nonce che avevo prima. Ovv...
posta 13.08.2015 - 05:25
1
risposta

Replay l'esempio di attacco per convalidare il nonce?

Sto tentando di convalidare un token JWT ricevuto da Windows Azure. Sto seguendo la documentazione qui: link Quando richiedi un token, Azure ti fornisce un nonce e il token JWT restituito contiene il nonce che hai inviato e devi assicurarti...
posta 17.05.2016 - 16:56
1
risposta

Gli attacchi man-in-the-middle contro i sistemi p2p sono realistici?

Sto implementando un DHT basato su Kademlia che segue questo documento . Il protocollo descritto in questo articolo usa nonce per proteggere dagli attacchi man-in-the-middle. Lo svantaggio è che la latenza viene raddoppiata introducendo effi...
posta 17.12.2012 - 10:55