¿Hay valor para firmar llamadas de microservicio con un HMAC derivado de la misma clave privada?

2

Un amigo me dijo:

  

Estamos protegiendo nuestro microservicio con un HMAC derivado de la clave privada en el archivo jks. [Donde el cliente y el servidor compartieron la misma clave privada]

Puedo entender la situación en la que tienes un HMAC de un secreto de corta duración, como uno derivado de Hashicorp Vault .

Pero si el HMAC tiene la misma vida útil que las claves privadas, ¿por qué no asegurar el microservice utilizando SSL basado en las claves privadas ya has instalado?

Mi pregunta es: ¿Hay valor para firmar llamadas de microservicio con un HMAC derivado de la misma clave privada?

    
pregunta hawkeye 23.03.2017 - 10:55
fuente

1 respuesta

1

Si el cliente y el servidor comparten la misma clave privada, la clave privada básicamente se convierte en un secreto simétrico, anulando así cualquier caso de uso relevante para SSL, o, FWIW, cualquier esquema de firma.

Básicamente es integridad sin autenticidad.

    
respondido por el pFarb 25.03.2017 - 11:37
fuente

Lea otras preguntas en las etiquetas