Идентификация и аутенцтификация с веб-страницы
Хотел бы спросить. Как лучше всего сделать утентификацию с веб-страницы, по типу, как в WebMoney, если кто сталкивался. У меня есть ключи пользователя. Что нужно передать на сервер, чтобы его идентифицировать и допустить к веб-ресурсу? Подписанную строку? Какая строка это должна быть, чтобы злоумышленник не мог ее повторить?
комментариев: 11558 документов: 1036 редакций: 4118
Ничего не понял. В смысле, клиент приезжает к вам в офис и говорит, мол, "вот это — мой ключ"? То, что открытый ключ доступен злоумышленнику [для чтения] — это ерунда, на то он и открытый. Главное, сделайте так, чтобы была исключена его модификация и подмена!
Вопрос как минимум спорный. Если посмотрите корневые сертификаты удостоверяющий центров в своём браузере (и в системном хранилище Windows), то можете там с удивлением обнаружить не то, что 1024-битовые, а даже 512-битовые ключи! И ничего, живут и здравствуют, а сертификаты будут действительны ещё несколько лет.
Вообще, если Ваша система не обязана обрабатывать сотни и тысячи транзакций в минуту, и даже не планируется масштабировать её до таких величин, возьмите ключи побольше. Короче, просто оценивайте стоимость обработки. Найдите то, что для Вас приемлемо. Если скорость не важна, берите большие ключи, в противном случае ищите компромиссное решение.
Для разных приложений, элементов системы, этапов протокола всегда используйте разные и, по возможности, независимые ключи! Общие рекомендации по крипторазработкам я приводил здесь.
комментариев: 30 документов: 4 редакций: 0
да, нечто подобное.
а можно об этом чуток подробнее, что за временные зависимости?
За объяснения отдельное спасибо! Производительность системы должна быть достаточно высокой, поэтому, пока не буду менять длину ключа.
комментариев: 11558 документов: 1036 редакций: 4118
См. "Timing attack". Если нужны подробности, Гугл Вам в помощь!
комментариев: 30 документов: 4 редакций: 0