¿Cómo funciona la firma OpenID sin una clave compartida?

Question

¿Cómo funciona la firma OpenID sin una clave compartida?

#1 de pd40 (1 votos)

2

A continuación, entiendo: una aplicación de terceros redirige a un OP para la autenticación. Una vez que se completa la autenticación, el OP redirige de nuevo a la aplicación de terceros.

También devuelve en la cadena de consulta una serie de parámetros y también envía una firma. Mi pregunta es cómo la aplicación de terceros verifica la firma. Según tengo entendido, se necesitará una clave compartida para hacer esto, pero no veo que se comparta en la redirección inicial al OP.

Ahora suponiendo que se compartió una clave, entonces cuál es el uso, ya que la comunicación puede ser detectada y los contenidos manipulados.

openid

pregunta murtaza52 24.07.2012 - 09:24

fuente

1 respuesta

Lea otras preguntas en las etiquetas openid

Certificación CISSP [duplicado] Tarjeta inteligente compatible con Schlumberger (Gemalto) Cryptoflex 16K y lector USB

score 1 · Accepted Answer

Según la openid spec , se establece (opcionalmente) una clave compartida entre el OP y la Parte dependiente utilizando un Intercambio de claves Diffie-Hellman

Diffie-Hellman es uno de los protocolos de acuerdos clave que permiten dos las partes deben establecer una clave secreta sin que un tercero sepa qué es esa clave.

La parte que confía verifica la información recibida del OP, incluida la verificación de la URL de devolución, la información descubierta, la verificación y la verificación de la firma mediante la clave compartida establecida durante la asociación o enviando una solicitud directa al OP.

Si la clave compartida es confiable, cualquier contenido modificado debe fallar en la verificación de la firma. Esta verificación es realizada por Relay Party o la aplicación web que busca verificar las credenciales de OpenID.