Preguntas con etiqueta 'hmac'

preguntas con etiqueta
1
respuesta

HMAC-SHA256 para la firma del token JWT

Actualmente estoy trabajando en una empresa en la que tenemos la necesidad de diseñar un sistema de autenticación basado en token. Seremos los propietarios y controladores de dos servidores, uno será el servidor de autenticación y el otro el ser...
hecha 12.01.2018 - 15:28
2
respuestas

¿Está bien cifrar un CRC con el texto sin formato?

Estamos usando encrypt-then-mac para el cifrado autenticado, y recientemente agregamos un CRC32 al texto plano. ¿Existe algún problema de seguridad con el uso de un mecanismo de hash no autenticado (por ejemplo, CRC32) para la detección de error...
hecha 19.05.2016 - 17:58
1
respuesta

Almacenamiento de contraseñas con Jasypt StrongPasswordEncryptor vs PBKDF2

Actualmente estamos trabajando en la autenticación de una aplicación web. Para el almacenamiento de contraseñas, estamos usando Jasypt StrongPasswordEncryptor con SHA-256 y decenas de miles de iteraciones. Al entrar en el proyecto, esperaba impl...
hecha 12.08.2014 - 19:12
1
respuesta

¿Se considera secreto el mensaje seguro de HMAC?

Considere la aplicación usando, por ejemplo, HMAC-SHA2, con una clave simétrica pre-compartida segura. ¿Se considera que los nonce s de los mensajes intercambiados también son secretos?  O, en otras palabras, ¿su facilidad para predecir o inc...
hecha 02.02.2018 - 10:02
2
respuestas

Asegurar las API de máquina a máquina que no son consumidores con cifrado sobre SSL

Estoy trabajando en una API que está destinada a ser consumida por otro sistema. Los datos no son propiedad de la máquina solicitante y los usuarios a los que pertenecen los datos no están impulsando la transacción. Puede pensar que es el mismo...
hecha 01.04.2017 - 07:48
2
respuestas

Recuperar clave en autenticación de mensajes HMAC-SHA256 [cerrado]

Estoy trabajando en una demostración de seguridad de cookies, donde se pasan algunos datos importantes al cliente junto con un resumen HMAC-SHA256 para evitar la modificación de los datos. Me gustaría poder mostrar que usar una tecla débil hace...
hecha 04.02.2017 - 17:26
2
respuestas

¿Debo agregar una firma sha256 a un token encriptado AES_256_CBC?

actualmente genero un token para una aplicación móvil de la siguiente manera. Descifro el token para procesar la solicitud y evaluar si el usuario ha iniciado sesión. Estoy en la conexión TLS RSA 2048 bits. Me preguntaba si $ GLOBALS es seguro y...
hecha 28.10.2015 - 19:53
1
respuesta

Entendiendo el algoritmo HMAC (SHA-256)

He publicado una pregunta relacionada en Desbordamiento de pila , pero tengo una pregunta más general sobre HMAC y SHA256. Digamos que quiero generar un hash HMAC para una clave en blanco y un mensaje en blanco. La página de Wikipedia mues...
hecha 18.08.2015 - 19:29
1
respuesta

¿Debo estirar la clave secreta en una implementación de protocolo de cookie segura?

Estoy creando una capa de autenticación de api que básicamente funciona como el protocolo de cookies seguras, donde en lugar de una cookie le doy al token del cliente un token que deben proporcionar en solicitudes posteriores. Ese token se firma...
hecha 02.06.2015 - 16:47
1
respuesta

¿ASP.NET garantiza la integridad de los controles de una página en una publicación posterior?

Supongamos que tiene una página ASP.NET que enumera los precios de ciertos artículos en las etiquetas. Sé que vale la pena, pero digamos que tomó el precio del artículo de la etiqueta en la página para determinar cuánto cobra al usuario por su p...
hecha 08.07.2014 - 21:01