integridad de mensajes jasypt

4

He estado buscando formas de cifrar un token de autenticación que debo pasar de un sitio a otro. Las cosas que he aprendido hasta ahora son

  • utilizar una biblioteca de alto nivel.
  • no utilice el BCE
  • use un HMAC para proporcionar integridad de mensajes.
  • cifrar luego hash

Por lo tanto, en mi búsqueda de una biblioteca java de código abierto de alto nivel y fácil de usar, me topé con jasypt . Pero he estado revisando un poco el código y parece que no usa HMAC en absoluto. Entonces me pregunto si no debería usar esta biblioteca y qué alternativas son adecuadas. Prefiero una solución solo para java (sin enlaces C).

    
pregunta JoG 26.01.2013 - 09:29
fuente

3 respuestas

1

Sugeriría Keyczar . Este es un kit de herramientas de criptografía que una vez fue desarrollado por Google. Tiene implementaciones Java, Python y C ++. Por lo que yo sé, Keyczar fue probado a fondo. Durante esa prueba, un ataque de tiempo fue encontrado y arreglado. Sin embargo, este fue el único caso hasta el momento y lo consideraría una apuesta bastante buena.

El archivo PDF en el capítulo 8 proporciona información mejor sobre HMAC. Y si nos fijamos en la pregunta » ¿Debemos MAC-luego-cifrar o cifrar-luego-MAC? « en crypto.SE obtiene una respuesta más profunda al caso de Encrypt-then-MAC.

    
respondido por el qbi 02.04.2013 - 22:39
fuente
0

Creo que bouncy castle sería una opción que puedes considerar. Lo he usado personalmente y tengo muchas opciones.

    
respondido por el Vishnu 31.03.2013 - 19:15
fuente
0

Recomendaría usar solo un modo de cifrado autenticado (por ejemplo, GCM, EAX) en lugar de preocuparse por cuándo debe calcular su HMAC. BouncyCastle incluye varias opciones:

enlace

(Es posible que no tenga ningún dato asociado en su caso; está bien).

    
respondido por el Nikita Borisov 03.04.2013 - 00:06
fuente

Lea otras preguntas en las etiquetas