¿Hay valor para firmar llamadas de microservicio con un HMAC derivado de la misma clave privada?

Question

¿Hay valor para firmar llamadas de microservicio con un HMAC derivado de la misma clave privada?

#1 de pFarb (1 votos)

2

Un amigo me dijo:

Estamos protegiendo nuestro microservicio con un HMAC derivado de la clave privada en el archivo jks. [Donde el cliente y el servidor compartieron la misma clave privada]

Puedo entender la situación en la que tienes un HMAC de un secreto de corta duración, como uno derivado de Hashicorp Vault .

Pero si el HMAC tiene la misma vida útil que las claves privadas, ¿por qué no asegurar el microservice utilizando SSL basado en las claves privadas ya has instalado?

Mi pregunta es: ¿Hay valor para firmar llamadas de microservicio con un HMAC derivado de la misma clave privada?

openssl hmac hashicorp-vault

pregunta hawkeye 23.03.2017 - 10:55

fuente

1 respuesta

Lea otras preguntas en las etiquetas openssl hmac hashicorp-vault

¿Cómo puedo firmar mis claves OpenPGP? Certification 27001 Issue

score 1 · Accepted Answer

Si el cliente y el servidor comparten la misma clave privada, la clave privada básicamente se convierte en un secreto simétrico, anulando así cualquier caso de uso relevante para SSL, o, FWIW, cualquier esquema de firma.

Básicamente es integridad sin autenticidad.