Preguntas con etiqueta 'hmac'

3
respuestas

Validar hmac con clave almacenada con hash

¿Qué sucede si un HMAC se genera correctamente y se envía con los datos al servidor? Hasta ahora sé que el servidor necesita conocer los datos originales con los que se creó el MAC para volver a crear el MAC y comparar, pero en En este escenario...
hecha 15.11.2012 - 22:13
1
respuesta

¿Se puede usar un HMAC TLS después del hecho para verificar la autenticidad de un mensaje? [duplicar]

Si tuviera que capturar una sesión TLS (y secretos compartidos) entre mí y un sitio web operado por otra parte, ¿podría usar el HMAC (o algo más?) para verificar a un tercero la autenticidad del Datos descargados, es decir, ¿probar que no lo a...
hecha 24.05.2017 - 23:44
1
respuesta

¿Cómo puede un atacante degradar / modificar las suites de cifrado cuando se realizan una MAC? (Freak, Logjam usa ataques de downgrade)

En el Finished handshake de TLS, todos los mensajes anteriores intercambiados se envían desde el cliente al servidor (y reverso) y están protegidos por un MAC. Esto es lo que también "evita "TLS_FALLBACK_SCSV ha sido modificado / elimin...
hecha 21.02.2016 - 12:15
1
respuesta

¿Comprobar HMAC después de completar el descifrado o antes?

He escrito una pieza de software que encripta simétricamente archivos grandes (multi-megabyte). El texto simple se cifra, después del cifrado, el HMAC se calcula y se escribe en el encabezado del archivo. Durante el cifrado, actualizo HMAC conti...
hecha 24.06.2015 - 15:20
1
respuesta

HMACs que tienen la misma clave y mensaje

Estoy usando HMACSHA256 para generar el hash de la contraseña y almacenarlo. El objetivo aquí es simplemente autenticar a los usuarios, es decir, guardar sus contraseñas de hash y validar a los usuarios cuando sea necesario utilizando las contra...
hecha 03.02.2015 - 11:42
1
respuesta

Asegurar la conexión entre la redirección de dominio A a B

Estoy creando una extensión especial (en el dominio B) para el presente comercio electrónico alojado en un dominio A. El objetivo es redirigir al usuario de A a B y viceversa. Similar a la técnica en la que el usuario deja el sitio de comercio e...
hecha 01.11.2014 - 12:31
3
respuestas

Detectar la manipulación de mensajes sin clave compartida y sin autoridad de certificación

¿Es posible detectar si un mensaje ha sido manipulado, sin usar MAC (es decir, clave compartida) y sin usar un tercero "de confianza" (es decir, autoridad de certificación)? Estoy bastante seguro de que no lo es, pero me gustaría estar seguro...
hecha 17.03.2014 - 05:43
1
respuesta

Confundido sobre la forma más relevante de proteger mis API

Soy dueño de una aplicación de Javascript (aplicación de una sola página) que golpea algunas API de mi propio backend RESTful. Lo que espero de mi mecanismo de autenticación / (autorización) es tres cosas: Prevención de todas las formas m...
hecha 17.04.2014 - 17:32
1
respuesta

Use el parámetro D de la clave privada como secreto HMAC para JWT en un entorno de carga equilibrada

Necesito usar una firma para un JWT que deba crearse o verificarse en 12 servidores diferentes que se ejecutan en un entorno de carga equilibrada. Todos ellos ya tienen el mismo par de claves RSA almacenado en el almacén de certificados de Windo...
hecha 02.05.2018 - 16:56
1
respuesta

Fichas de seguridad para exposición externa: ¿UUID o HMAC / JWT / hash?

Estoy creando el backend para una aplicación web. Cuando un nuevo usuario ingresa al sitio y hace clic en el botón Registrarse , completará un formulario súper simple que les pedirá su nombre de usuario y contraseña y los enviará. Esto solicita...
hecha 09.01.2018 - 16:13