Preguntas con etiqueta 'hmac'

1
respuesta

Al autenticar ciphertexts, ¿qué debe ser HMACed?

Algunos han argumentado para usar AES-256-CTR con HMAC-SHA- 256 para el cifrado autenticado sobre modos específicos de AEAD como EAX y GCM. Sin embargo, al hacer esto, ¿qué debería ser HMAC? ¿Y cómo? Específicamente: ¿Debe usarse una...
hecha 21.09.2012 - 01:26
1
respuesta

Seguridad para la API REST (usuario / pass auth vs hmac vs oauth)

Tengo dos servidores (uno en Hetzner (lo llamo H) y otro en mi oficina (llamándolo O)). Necesito ejecutar un servicio web básico de CRUD en O y el único consumidor del servicio es H. Los datos en O son datos confidenciales del usuario. Este es u...
hecha 30.07.2013 - 15:01
1
respuesta

Cifrado de respaldo seguro con OpenSSL

Lo sé, el consejo general es "mantener las manos alejadas de las cosas criptográficas". Y la forma estándar de cifrar datos de copia de seguridad de forma segura sería utilizando GnuPG. Sin embargo, para un ejercicio bastante académico, me gusta...
hecha 12.08.2015 - 12:45
3
respuestas

Firma de solicitud basada en HMAC - Almacenamiento de la sal

Estoy trabajando en un proyecto (que no es de alta seguridad) que actualmente no está activo, pero podría estar activo en algún momento. Tenemos una API REST (implementada mediante Restlet y Neo4j) que se ejecuta en un servidor y una aplicaci...
hecha 18.05.2012 - 00:40
4
respuestas

HMACSHA512 versus Rfc2898DeriveBytes para el hash de contraseña

Actualmente estamos utilizando HMACSHA512 en .net, con una clave de validación 128Char (64bytes) La sal es de 64 caracteres generados aleatoriamente cadena. Asignamos 2048 de longitud en la base de datos para el resultado de la cadena hash...
hecha 02.05.2013 - 18:53
1
respuesta

¿Usando RSA-SHA como / en lugar de HMAC en OpenVPN?

Mientras leía el manual de OpenVPN 2.3, encontré la opción --auth alg . El manual dice:    Autentique los paquetes con HMAC usando el algoritmo de resumen de mensajes alg . (El valor predeterminado es SHA1). HMAC es un algoritmo d...
hecha 18.06.2015 - 12:38
1
respuesta

¿Se necesita HMAC con SSL / AccessToken en su lugar?

¿Está utilizando un HMAC en los mensajes de servicio web si ya está usando SSL y tokens de acceso? Estoy pensando en otras formas de asegurar un servicio, y la firma de mensajes HMAC es una de ellas. Pero viene con un costo, más complicado de...
hecha 16.01.2014 - 16:58
3
respuestas

¿Verificación de mensaje de la API sin almacenar la clave privada?

Estoy en el proceso de implementar una API pública para mi servicio web. La seguridad es una preocupación clave ya que el dinero está involucrado. Parece que la práctica común actual para "autenticar" usuarios en solicitudes API es confirmand...
hecha 06.06.2013 - 04:45
1
respuesta

Usando HMAC para generar claves secretas

Estoy desarrollando una plataforma que usa varias claves secretas para varios usos: key1 para las contraseñas de hashing (usando pbkdf2-hmac-sha256), key2 para generar no repeticiones uuids impredecibles (utilizando aes-128 y un contador), e...
hecha 14.01.2015 - 17:29
4
respuestas

Fugas importantes de contraseñas en la industria que utilizan HMAC con sal pero sin, por ejemplo, PBKDF2, scrypt

Estoy tratando de convencer a los ejecutivos de un proyecto para que usen una función de fortalecimiento iterativo para asegurar el almacenamiento de contraseñas para un nuevo sistema. La propuesta actual almacenaría algo así como un HMAC de un...
hecha 12.10.2015 - 16:37