Зачем Laravel для шифрования нужен код аутентификации сообщения (MAC)?

Question

Зачем Laravel для шифрования нужен код аутентификации сообщения (MAC)?

Все зашифрованные значения Laravel подписываются с использованием кода аутентификации сообщений (MAC), поэтому их базовое значение не может быть изменено после шифрования.

На практике это означает, что полезная нагрузка сопровождается небольшим значением хеш-функции. Не секрет, как генерируется это значение, потому что Laravel является продуктом с открытым исходным кодом. Исходный код говорит это:

    // Once we get the encrypted value we'll go ahead and base64_encode the input
    // vector and create the MAC for the encrypted value so we can then verify
    // its authenticity. Then, we'll JSON the data into the "payload" array.
    $mac = $this->hash($iv  = base64_encode($iv), $value);

Лично я не вижу преимущества этого MAC для Laravel. Почему это там?

Я имею в виду, если у нас уже есть открытый ключ, который сопровождает сообщение и закрытый где-то закрытый ключ и openssl_encrypt в качестве процессора. Как MAC может способствовать безопасности? Или это способствует чему-то еще?

1

laravel security encryption message-authentication-code

Источник

user2005680 30 авг '18 в 07:46

2 ответа

Другие вопросы по тегам laravel security encryption message-authentication-code

user2005680 20 сен '18 в 02:00 2018-09-20 02:00 · Answer 1 · 2018-09-20 02:00

Как сказал Джеймс К Полк

MAC использует ключ, поэтому злоумышленник не может сгенерировать правильный, если у него нет ключа.

MAC необходим для защиты от преднамеренной модификации зашифрованного текста.

1

Источник

user2005680 20 сен '18 в 02:00

user9459816 30 авг '18 в 08:14 2018-08-30 08:14 · Answer 2 · 2018-08-30 08:14

В Laravel 3 возникла проблема безопасности, когда вы могли получить доступ как аутентифицированный пользователь. Хотя это, похоже, связано с файлами cookie (их можно каким-то образом подделать), но MAC был добавлен в файлы cookie.

http://joncave.co.uk/2012/10/lying-to-laravel/

TLDR В будущем было бы хорошо видеть, что в классе Crypter компании Laravel встроены MAC-адреса, так что все зашифрованные сообщения проверяются перед расшифровкой. Примеры такого типа поведения можно увидеть в Zend Framework 2 и Ruby on Rails.

https://laravel3.veliovgroup.com/docs/changes

Это потому, что дешифрование может быть выполнено с помощью грубой силы, добавление MAC означает, что вы ничего не сделаете, если он не соответствует тому, что должен. Точная реализация Laravel, я не знаю, сколько безопасности может добавить, но, по крайней мере, усложняет задачу для злоумышленника.