Articles of Criptografia de

Qual algoritmo devo usar para hash de senhas em meu database?

Existe alguma coisa disponível que não seja trivialmente quebrável?

Qual é o propósito da codificação da base 64 e por que ela é usada na Autenticação Básica HTTP?

Eu não recebo a criptografia Base64. Se alguém pode descriptografar uma string Base64, qual é o seu propósito? Por que está sendo usado para autenticação básica HTTP? É como dizer a alguém que minha senha é invertida em OLLEH. As pessoas que veem o OLLEH saberão que a senha original era HELLO.

Por que usar um IV não random com o modo CBC é uma vulnerabilidade?

Eu entendo o propósito de um IV. Especificamente no modo CBC, isso garante que o primeiro bloco de duas mensagens criptografadas com a mesma chave nunca será idêntico. Mas por que é uma vulnerabilidade se os IV’s são sequenciais? De acordo com o CWE-329, o NON-Random IV permite a possibilidade de um ataque de dictionary. […]

Como fazer corretamente o gerenciamento de chaves privadas

Alguém tem experiência prática ou uma referência para um esquema que implemente um esquema de gerenciamento de chaves que esteja em conformidade com o padrão de segurança do PCI DSS ? Obviamente, existem algumas implementações em torno do número de empresas compatíveis com o PCI DSS, mas tentar encontrar detalhes sobre elas é difícil. Quando […]

Como as chaves de licença de software são geradas?

As chaves de licença são o padrão de fato como uma medida antipirataria. Para ser honesto, isso me parece como (in) Security Through Obscurity , embora eu realmente não tenha ideia de como as chaves de licença são geradas. O que é um bom exemplo (seguro) de geração de chave de licença? Qual primitivo criptográfico […]

Qual é o ponto do SSL se o fiddler 2 pode descriptografar todas as chamadas por HTTPS?

Eu fiz uma pergunta aqui um tempo atrás sobre como esconder minhas chamadas de solicitação http e torná-las mais seguras no meu aplicativo. Eu não queria que as pessoas usassem o violinista 2 para ver a chamada e configurar uma resposta automática. Todos me disseram para ir SSL e chamadas serão escondidas e informações mantidas […]

Criptografar IDs em variables ​​de URL

Eu estou desenvolvendo um aplicativo de servidor HTTP (no PHP, acontece). Estou preocupado com o aparecimento de IDs de tabela nos URLs. É possível criptografar variables ​​e valores de URL para proteger meu aplicativo?

Hash de senha, salt e armazenamento de valores de hash

Suponha que você tenha a liberdade de decidir como as senhas em hash devem ser armazenadas em um DBMS. Existem deficiências óbvias em um esquema como este? Para criar o valor de hash armazenado no DBMS, leve: Um valor que é exclusivo para a instância do servidor DBMS como parte do sal, E o nome […]

Senha para function chave compatível com comandos OpenSSL?

Por exemplo, o comando: openssl enc -aes-256-cbc -a -in test.txt -k pinkrhino -nosalt -p -out openssl_output.txt produz algo como: key = 33D890D33F91D52FC9B405A0DDA65336C3C4B557A3D79FE69AB674BE82C5C3D2 iv = 677C95C475C0E057B739750748608A49 Como essa chave é gerada? (C código como uma resposta seria muito incrível para pedir :)) Além disso, como é o iv gerado? Parece algum tipo de feitiço para mim.

Dado o bloco final não adequadamente preenchido

Eu estou tentando implementar algoritmo de criptografia baseada em senha, mas eu recebo essa exceção: javax.crypto.BadPaddingException: Dado que o bloco final não está adequadamente preenchido Qual pode ser o problema? (Eu sou novo em Java.) Aqui está o meu código: public class PasswordCrypter { private Key key; public PasswordCrypter(String password) { try{ KeyGenerator generator; generator […]