¿Qué cifrado impide la manipulación de las cookies de FedAuth de Windows Identity Foundation (WIF)?

Question

¿Qué cifrado impide la manipulación de las cookies de FedAuth de Windows Identity Foundation (WIF)?

#1 de Cyril N. (4 votos)

12

Se me ocurrió que las cookies de WIF FedAuth contienen información de identidad que, de ser manipulada, podría permitir que alguien asuma la identidad de otro usuario. Afortunadamente, WIF realiza de forma criptográfica Autentica el mensaje, pero no entiendo cómo se hace esto.

¿Qué sucede primero, Autenticación o cifrado (AtE o EtA?)
¿Cómo se implementa la parte de autenticación
¿Hay otros estándares que implementen un cifrado similar?

windows openid cookies federation identity

pregunta random65537 03.11.2011 - 05:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas windows openid cookies federation identity

¿Cómo se encriptan las redes de telefonía móvil como LTE y HSPA? Cómo crear y utilizar correctamente certificados y certificados de CA

score 4 · Accepted Answer

Basado en la primera respuesta de este enlace :

Esta cookie está cifrada y firmada con la clave DPAPI que está asociada con el grupo de aplicaciones IIS.

Para su información :

DPAPI proporciona una capacidad de protección de datos esencial que garantiza   La confidencialidad de los datos protegidos al tiempo que permite la recuperación de la   Datos subyacentes en caso de pérdida o cambio de contraseñas. los   La protección basada en contraseña proporcionada por DPAPI es excelente para un número   de razones.


Utiliza rutinas criptográficas comprobadas, como el fuerte algoritmo Triple-DES en modo CBC, el fuerte algoritmo SHA-1 y la rutina de derivación de claves basada en contraseña PBKDF2.

Utiliza construcciones criptográficas comprobadas para proteger los datos. Todos los datos críticos están protegidos criptográficamente por integridad, y los datos secretos se envuelven utilizando métodos estándar.

Utiliza tamaños secretos grandes para reducir en gran medida la posibilidad de ataques de fuerza bruta para comprometer los secretos.

Utiliza PBKDF2 con 4000 iteraciones para aumentar el factor de trabajo de un adversario que intenta comprometer la contraseña.

Verifica las fechas de caducidad de MasterKey.

Protege todas las comunicaciones de red necesarias con los controladores de dominio mediante el uso de canales RPC mutuamente autenticados y protegidos por privacidad.

Minimiza el riesgo de exponer cualquier secreto, al no escribirlos en el disco y minimizar su exposición en la memoria RAM intercambiable.

Se requieren privilegios de administrador para realizar modificaciones en los parámetros de DPAPI en el registro.

Utiliza la protección de archivos de Windows para ayudar a proteger todas las DLL críticas de los cambios en línea, incluso por procesos con privilegios de administrador.

Ahora, para el orden entre la autenticación y el cifrado, con respecto a esta documentación , WIF parece primero cifrar, luego autenticar .