Puncte:0

Autentificare între două servere folosind PKA

drapel cn

M-am confruntat cu o mică problemă privind autentificarea între 2 servicii (comunicare într-un singur sens) folosind autentificarea cu chei publice și private (Elliptic Curve, secp256k1).

Serviciile vor comunica printr-un API REST prin HTTPS, iar implementarea propusă ar fi ca clientul să semneze ceva cu cheia sa privată, să trimită semnătura împreună cu restul datelor, în antetul de autentificare, iar serverul să verifice acea semnătură. cu cheia publică.

Am o bibliotecă pentru a face semnarea și verificarea efectivă, deci partea criptografică reală a acesteia este în regulă și știu că alternativele sunt mult mai complexe (doar o cheie API, de exemplu), dar nu mă deranjează. atâta timp cât conceptul în sine nu este viciat și este cel puțin la fel de sigur ca alte alternative (probabil mai simple).

Este aceasta o idee bună? Dacă nu, de ce? Dacă este, ce anume semnez? Este orice bine (Să zicem, ziua curentă)? Există o problemă la semnarea a ceva static?

Maarten Bodewes avatar
drapel in
În general, ați semna cel puțin informații care sunt legate de sesiune și în special de stabilirea cheii de sesiune. Dar vă rugăm să studiați protocoale precum TLS pentru a vă face o idee. Timpul este mai puțin unic decât ați putea crede și, prin urmare, nu este bun; alții ar putea încerca să stabilească o sesiune în același timp și să-ți fure semnătura - computerele sunt cu adevărat foarte rapide în zilele noastre și să te bazezi pe un ceas este foarte, foarte, foarte periculos. Acesta este și motivul pentru care semnarea a ceva static nu este bună, permite **atacuri de reluare**.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.