Preguntas con etiqueta 'hmac'

7
respuestas

Password Hashing: ¿agregar sal + pimienta o es suficiente sal?

Tenga en cuenta: soy consciente de que el método correcto para el hashing de almacenamiento seguro de contraseñas es scrypt o bcrypt. Esta pregunta no es para implementación en software real, es para mi propia comprensión. Relacionados...
hecha 22.04.2011 - 11:53
5
respuestas

¿Cómo y cuándo uso HMAC?

Estaba leyendo HMAC en wikipedia y estaba confundido sobre algunos puntos. ¿Dónde uso HMAC? ¿Por qué es la parte clave del hash? Incluso si alguien usó con éxito un "ataque de extensión de longitud", ¿sería útil para el atacante?
hecha 13.09.2012 - 13:22
4
respuestas

¿Cuáles son los requisitos para la clave secreta HMAC?

Estoy creando un servicio HTTP REST que estará disponible solo a través de tls. Para fines de autenticación, planeo generar el token JWT para cada usuario que usa HMAC HS256 . Necesito una clave secreta para HMAC. ¿Cuáles son los...
hecha 05.08.2015 - 12:49
2
respuestas

¿Cuál es la diferencia entre HMAC-SHA256 (clave, datos) y SHA256 (clave + datos)

¿Hay algo diferente en cuanto a la seguridad de estos dos algoritmos de hash? ¿HMAC "fusiona" los datos y la clave de una forma especial que es más consciente de la seguridad?     
hecha 20.01.2015 - 04:19
1
respuesta

¿Por qué no puedo usar la misma clave para el cifrado y MAC?

Escribí un programa de cifrado de archivos simple como ejemplo de cómo hacer el cifrado correctamente, pero después de leer preguntas acerca del cifrado + MAC , creo que cometí un error al usar la misma clave para ambos. Estoy a punto de a...
hecha 22.06.2013 - 19:27
1
respuesta

¿Por qué una clave simétrica para HMAC?

Estoy trabajando para asegurar una API RESTful y estoy usando modelo HMAC de Amazon AWS como mi guía. Estoy luchando para encontrar una manera segura de almacenar las claves simétricas en mi extremo. ¿Cuál es la práctica estándar? Esta es una...
hecha 26.04.2013 - 14:42
1
respuesta

FIDO, compatibilidad U2F

He estado siguiendo el estándar FIDO (un sistema de clave pública amigable para el consumidor similar a los pares de claves SSH) y Parece que está cerca de estar completo: tanto Google como PayPal lo han estado probando internamente durante al...
hecha 01.04.2014 - 20:31
3
respuestas

Proteger una API REST multitranes y con múltiples bases de datos

Estoy buscando mejorar la seguridad de una API REST existente a la que se accede a través de SSL. El servicio web es multi-inquilino, de modo que cada inquilino tiene un TenantId asignado. El problema al que me enfrento se puede resumir en:...
hecha 23.01.2015 - 15:27
1
respuesta

¿Cuándo usar HMAC junto con AES?

Uno de mis clientes desea proporcionar una URL a cada uno de sus clientes para registrarse en un sistema. Esta URL contendría un parámetro de cadena de consulta con algunos datos (por ejemplo, código, correo electrónico y nombre) de sus clientes...
hecha 14.07.2014 - 23:06
2
respuestas

¿Ataque de tiempo contra HMAC en cifrado autenticado?

En una respuesta a otra pregunta mía , se observó que una clase que usa funciones de comparación de cadenas estándar cuando revisar el HMAC en cifrado autenticado haría a la clase vulnerable a ataques de tiempo contra el HMAC. No puedo ver...
hecha 08.12.2014 - 16:42