Domande con tag 'nonce'

1
risposta

È insicuro chiedere l'attuale nonce dal server?

Sto sviluppando un'applicazione incorporata che fornisce informazioni tramite HTTP al mio server web. Queste consegne sono protette da un hash H(secret : data : nonce) dove il segreto è condiviso tra le due entità e i dati sono i dati che v...
posta 09.09.2013 - 21:59
1
risposta

E 'qui che entra in gioco un nonce?

Sto rivedendo un sito web sviluppato da un amico e cercavo errori e preoccupazioni generali. Durante la revisione ho notato che è molto pesante nelle chiamate ajax che utilizzano JSON per un'API RESTful che mantiene su un server diverso. Ment...
posta 10.03.2014 - 20:29
1
risposta

IKEv2: Perché è importante "che ogni lato firmi il nonce dell'altro lato"

Attualmente sto approfondendo il protocollo IKEv2. Nella descrizione dell'autenticazione (RFC5996, pagina 48), viene fornita la seguente dichiarazione: "È fondamentale per la sicurezza dello scambio che ciascun lato firmi il nonce dell'altro...
posta 24.04.2014 - 11:33
1
risposta

Associato di rischio con nonce e hash trovati nell'URL

Mi sono imbattuto in un url con nonce e hash in posizione che è un link di attivazione dell'account inviato via email. L'esempio è il seguente: http://example.com/competition/?r=user/activateaccount&[email protected]&...
posta 07.09.2015 - 15:10
3
risposte

Come creare un nonce sicuro per WSSE

Devo connettermi a un'API REST utilizzando un'intestazione WSSE per l'autenticazione. Dal momento che WSSE usa ancora il debole SHA1, credo che un buon nonce sia importante. Ho trovato implementazioni molto diverse: * link * link * link...
posta 01.07.2015 - 09:49
1
risposta

È necessario crittografare il nonce nella comunicazione crittografica?

Il server e il client hanno una chiave pre-condivisa K. Supponendo che quella chiave pre-condivisa sia sicura, quindi nessun altro oltre a server / client può crittografare / decodificare. Il client invia un N nonce al server, quindi il serve...
posta 17.02.2015 - 03:57
1
risposta

Costruzione nonce per modalità CTR (Mcrypt)

Modifica: inserirò questo più chiaramente. Nella forma più semplice, sto chiedendo che se I AES criptasse in CTR di più con Mcrypt (usando PHP), posso creare "IV" semplicemente leggendo 16 byte da / dev / urandom? Fa il lavoro correttamente?...
posta 10.07.2011 - 10:24
1
risposta

Perché l'autenticazione di sale + nonce su canali non sicuri è vulnerabile all'attacco man-in-the-middle?

In una connessione di rete su un canale non protetto faccio quanto segue: Il server invia il database salt e un nonce al client; Il client calcola e invia hash(hash(pwd + salt) + nonce) ; Il server calcola hash(db_pwd_hash + nonce)...
posta 16.12.2017 - 22:05
3
risposte

Three Message Authentication Protocol

Ho un protocollo in cui "A" inizia la comunicazione con "B". "B" quindi invia una sfida per verificare se "A" è realmente "A". "B" non ricorda di aver inviato la sfida, quindi "A" deve rispondere inviando la sfida insieme alla sfida crittografat...
posta 30.11.2011 - 18:32
2
risposte

HMAC: Quanto deve essere unico un nonce se anche la data fa parte della firma?

In uno schema HTTP in cui la firma HMAC-SHA256 viene inviata come parte dell'intestazione Authorization e l'input del messaggio contiene: Il metodo di richiesta URL Dati post Nonce Date intestazione HTTP Quanto deve ess...
posta 21.12.2014 - 00:20