U
Всем привет!
В общем, делаю AES шифрования с ключом
В общем, делаю AES шифрования с ключом
PBKDF2 на основе пина и вот результат.Size: a a a
2019 September 18
U
U
U
неправильный пин и правильный пин соответственно
U
Это нормально что при неправильном вводе пина получаю такое в результате?
U
Слышал что безопаснее когда нельзя узнать заранее правильно ли расшифровался токен или нет, только после отправки на сервер
c
читай внимательней
U
читай внимательней
какой момент именно? Я просто не пойму в чем именно проблема, вроде сделал все по «гайдам», так сказать
U
«Основное требование — ни при каких обстоятельствах нельзя допустить реализацию такого механизма шифрования RefreshToken, при котором можно провалидировать результат расшифровки локально. То есть, если злоумышленник завладел шифротекстом он не должен иметь возможности подобрать ключ. Единственным валидатором должно быть API.»
U
Это я понял, но не пойму что я не так сделал
U
Но как я понял, данное условие не удовлетворяется
2019 September 19
EK
Но как я понял, данное условие не удовлетворяется
А что именно ты шифруешь? Если это base64 строка, то сначала надо сделать decode base64 и шифровать полученные байты
U
А что именно ты шифруешь? Если это base64 строка, то сначала надо сделать decode base64 и шифровать полученные байты
да, что-то я тупанул совсем, в статье написано же что за токен берутся случайные байты и кодированые в base64 строку.
Получается, при иных обстоятельствах это дело совсем не работает.
Надо будет тогда смотреть как там на back-end генерируется этот токен)
Получается, при иных обстоятельствах это дело совсем не работает.
Надо будет тогда смотреть как там на back-end генерируется этот токен)
2019 September 20
СП
да, что-то я тупанул совсем, в статье написано же что за токен берутся случайные байты и кодированые в base64 строку.
Получается, при иных обстоятельствах это дело совсем не работает.
Надо будет тогда смотреть как там на back-end генерируется этот токен)
Получается, при иных обстоятельствах это дело совсем не работает.
Надо будет тогда смотреть как там на back-end генерируется этот токен)
Uuid.toString - гарантированно случайные байты в hex строке кстати
2019 September 23
U
Всем привет!
Столкнулся с такой проблемой: когда делаю wrap AES ключа ключом RSA, он удлиняется до размера ключа RSA.
Как вообще с этим быть? Как правильно вообще обернуть AES ключ ключом RSA?
Столкнулся с такой проблемой: когда делаю wrap AES ключа ключом RSA, он удлиняется до размера ключа RSA.
Как вообще с этим быть? Как правильно вообще обернуть AES ключ ключом RSA?
U
После wrap’а и последующего unwrap’а, длина byte[] ключа AES была 32 а стала 64, где первые 32 байта просто 0.
Я конечно могу просто отрезать первые 32 байта, но это какой то костыль получается 😕
Как вообще правильно зашифровать ключ AES алгоритмом RSA ?
Я конечно могу просто отрезать первые 32 байта, но это какой то костыль получается 😕
Как вообще правильно зашифровать ключ AES алгоритмом RSA ?
2019 September 24
U
Оказалось, необходимо было просто добавить padding для RSA
R
https://resources.github.com/webcasts/community-powered-security-developer-workflow/ - выглядит интересно.
N
всем🎩, такой вопрос, есть проверка перед запуском на подпись. Если подпись не совпадает - выбрасываем RTE. Локально на подписанной апк все отрабатывает ок, при залитии в маркет - 100% крашей. Не подскажете, не шаманит ли гугл с этими подписями при тестировании?