Autor
|
Tema: comprobar token sin conocer la clave (Leído 5,642 veces)
|
patilanz
Desconectado
Mensajes: 481
555-555-0199@example.com
|
Buenas, necesito poder firmar un token con una clave privada pero luego comprobarlo con otra clave.
Pensé en clave privada y publica, pero es la publica que cifra y la privada que descifra, y con la privada se puede obtener la publica así que no me sirve.
Un saludo
|
|
|
En línea
|
|
|
|
engel lex
|
Buenas, necesito poder firmar un token con una clave privada pero luego comprobarlo con otra clave.
Pensé en clave privada y publica, pero es la publica que cifra y la privada que descifra, y con la privada se puede obtener la publica así que no me sirve.
Un saludo
esa es la teoría de la firma digital y es segura... si quieres firmarlo para eso sirve... cifrarlo es un lio diferente
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
patilanz
Desconectado
Mensajes: 481
555-555-0199@example.com
|
Tengo 3 programas A,B y C
A genera el token y se lo pasa al B B se lo pasa a C sin comprobar nada C comprueba si el token ha sido emitido por A
A puede crear y comprobar tokens C solo puede comprobarlos
El token no hace falta cifrarlo pero si validarlo Se puede hacer mediante un certificado digital autofirmado que no esté conectado con ninguna organización?
Un saludo
|
|
|
En línea
|
|
|
|
engel lex
|
si, de eso va todo el asunto, C debe conocer la clave publica de A y listo... tambien puedes hacer tipo rsa y con la clave publica de ambos y la clave privada tuya
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
patilanz
Desconectado
Mensajes: 481
555-555-0199@example.com
|
si, de eso va todo el asunto, C debe conocer la clave publica de A y listo... tambien puedes hacer tipo rsa y con la clave publica de ambos y la clave privada tuya
Me lo puedes aclarar un poco mas ? Usando esto: # Create the CA Key and Certificate for signing Client Certs openssl genrsa -des3 -out ca.key 4096 openssl req -new -x509 -days 365 -key ca.key -out ca.crt # Create the Server Key, CSR, and Certificate openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr # We're self signing our own server cert here. This is a no-no in production. openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt # Create the Client Key and CSR openssl genrsa -des3 -out client.key 1024 openssl req -new -key client.key -out client.csr # Sign the client certificate with our CA cert. Unlike signing our own server cert, this is what we want to do. openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt http://blog.nategood.com/client-side-certificate-authentication-in-ngiQue parte a que programa(A,B o C) se corresponde? Que certificado sirve como token y como compruebo su origen? No lo tengo muy claro Muchas gracias
|
|
« Última modificación: 13 Febrero 2018, 00:44 am por patilanz »
|
En línea
|
|
|
|
engel lex
|
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
patilanz
Desconectado
Mensajes: 481
555-555-0199@example.com
|
Ya funciona, firmo un archivo con clave privada y la compruebo con la publica, el archivo contiene los datos del token. Me puedes dar consejos de seguridad como por ejemplo en los hash el uso del salt y el hmac. Un saludo
|
|
|
En línea
|
|
|
|
engel lex
|
hmac ya es un sistema de "autofirmado" simetrico con un clave y contraseña, ya con el firmado que tienes, debe ser bastante, aunque si quieres asegurar, puedes usarlo, pero sería mejor transferir sobre ssl
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Duda para comprobar si existe clave del registro con .bat
Scripting
|
edunardo
|
3
|
8,773
|
4 Septiembre 2008, 16:25 pm
por carlitos.dll
|
|
|
comparacion de token
Programación C/C++
|
bash
|
6
|
6,146
|
11 Julio 2010, 01:30 am
por bash
|
|
|
trabajar con un token
Programación C/C++
|
bash
|
3
|
3,487
|
11 Enero 2012, 11:41 am
por Eternal Idol
|
|
|
obtener clave wifi sin conocer el router via ethernet?
Hacking Wireless
|
noopynoob
|
2
|
8,404
|
19 Agosto 2013, 16:10 pm
por beholdthe
|
|
|
csrf token
Hacking
|
fokin
|
2
|
3,361
|
21 Noviembre 2013, 17:27 pm
por fokin
|
|