نوشته‌شده در

تأیید اعتبار – یک رمز گذار چیست؟

در حالی که بحث در مورد اعتبار / صداقت بایگانی برای مدت طولانی و مشکل به طور بالقوه مجدد در هنگام مصالحه، فرد با اصطلاح "trans-cipher" (یا "trans-encryption") آمد.

من تلاش کرد تا کل اینترنت را برای این جستجو جستجو کند، اما نمی توانست معنی این را بیابد. آیا می توانم کسی مرا روشن کند؟

توجه: در زمینه معتبر بودن آرشیو طولانی مدت، این اصطلاح در حالی که در حال صحبت کردن با امضای تایید است و مشکل زمانی که یک کلید خصوصی به مخاطره می افتد یا زمانی که الگوریتم برای کلید عمومی / خصوصی منسوخ شده (به عنوان مثال با توجه به قدرت سخت افزاری سخت افزاری که به نقطه ای رسید که در گذشته فاکتور مشکل دشوار بود، بی اهمیت می شود).

PS: ممکن است اصطلاح دقیق کمی متفاوت از "trans-cipher" باشد. در این پروژه رد دیجیتال برای اثر انگشت دیجیتالی (همچنین نام تابع رمزنگاری هش) …

نوشته‌شده در

gnupg – چطور می توانم امضاهای امضا شده توسط افراد دیگر را تأیید کنم؟

همانطور که در این سؤال مربوطه مشخص شده است، علامتهای Github با استفاده از کلید GPG 4AEE18F83AFDEB23 ساخته شده از کاربرد آنها ساخته شده است. آنلاین، من می توانم commitments tagged به عنوان 'تأیید' را ببینید. اما هنگام تلاش برای تأیید آنها در محلی من، قادر نیستم: 

 $ git log --show-signature

مرتکب 1bd20e9f7ed0860dc1971957b61ea25aeea499a1
gpg: امضاء ساخته شده Tue 6 Feb 00:04:43 2018 AEDT
gpg: با استفاده از کلید RSA 4AEE18F83AFDEB23
gpg: نمیتوان امضا را بررسی کرد: کلید عمومی وجود ندارد
ادغام: c1218d5 0dde09c
نویسنده: برندن روی 
تاریخ: دوشنبه 6 فوریه 00:04:43 2018 +1100

    تقاضای شماره 1 را از bmon / pullreq ادغام کنید

    این یک امتحان است

1bd20e9 یک گروگان گیتوب ساخته شده از طرف من است. چگونه می توانم تأیید را توسط github ایجاد کنم؟

نوشته‌شده در

تأیید هویت – کاربر معتبر بر اساس شناسه دستگاه تلفن همراه

من یک بازی تلفن همراه فرضی است که بازیکنان لزوما نیاز به ایجاد حساب برای بازی ندارند. داده های آنها از یک شناسه دستگاه مانند یک شناسه تبلیغاتی (IDFA) یا IdentifierForVendor شناسه اپل یا شناسه Android

کلید شده است. برای GDPR، باید تمام کاربران را مجاز به دانلود داده های خود کنم. آیا استفاده از یک شناسه دستگاه برای تأیید هویت کاربر ایمن است؟

به عنوان مثال، آیا این شناسه ها می توانند دروغین و حدس بزنند؟

نوشته‌شده در

کارت هوشمند – معیارهای تأیید هویت برای یک گواهی PIV نقشه برداری شده

من در حال بررسی کارت هوشمند هستم و آسیب پذیری های هش را که همراه آن است، منتقل می کنم. یک مورد من علاقه مند هستم اما نمیتوانم اسناد را پیدا کنم

برخی از دستگاههایی که من بررسی کردم – مخصوصا Yubikey 4 – تنها پشتیبانی از یک گواهی PIV را ارائه می دهند. از اسناد MS این cert به راحتی می توان به چندین حساب کاربری نقشه برداری کرد، و یک راه آسان برای تغییر بین زمینه های امنیتی / سطوح فراهم می کند.

این در نظریه عالی است، اما اگر من بازیافت همان هش چند حسابه واقعا امنیت واقعی را ارائه نمی دهد. آیا استفاده از این گواهینامه تک نقشه برداری در انتهای انتهایی منجر به داشتن همان هش در حسابهاست؟

نوشته‌شده در

تأیید هویت – API سفارشی امن

من مشتری دسکتاپ را برای یک فروشگاه الکترونیکی ایجاد می کنم و این مشتری از بعضی از توابع با استفاده از API e-shop استفاده خواهد کرد، مانند: 

 GetOrders
UpdateOrder
SetOrder
و غیره...

من تأیید هویت سفارشی را برای آن مشتری ایجاد می کنم، اما نمی دانم این است که در برابر حملات امن است.

تمام ارتباطات با سرویس گیرنده توسط HTTPS انجام می شود.

این کار به این صورت است: [19659006] در اولین درخواست مشتری باید نام کاربری و رمز عبور را برای
سرور بنابراین سرویس گیرنده هش رمز عبور را به چه کاربر ورودی و سپس پس از آن
مشتری درخواست را به سرور با نام کاربری و هشدار ارسال خواهد کرد
رمز عبور

  • سرور رمز عبور هشدار را با رمز عبور هشدار در DB مقایسه می کند
    نام کاربری، اگر آن برابر باشد، سرور سرور را ایجاد می کند (مانند api key)

  • در هر درخواست سرور موفق، طول عمر نشانه را تجدید می کند.

    • درخواست ها باید مانند این باشد: 

     ] POST / دستورات / دریافت HTTP / 1.1
میزبان: example.com
token = 123456789 & orderid = 10

    آیا توصیه های امنیتی وجود دارد اگر من باید از درخواست های POST یا درخواست های GET استفاده کنم؟ آیا POST امن تر نیست و سپس دریافت؟ به عنوان مثال POST اطلاعات را در قسمت درخواست HTTP ذخیره می کند، اما GET آن را در URL ذخیره می کند.