ECRYPTAR AES

EXISTE UN JAR PARA ECRYPTAR EN AES 256 EN JAVA

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.
Imagen de neko069

Es pregunta?

Es pregunta?

Imagen de ezamudio

De hecho en el JDK viene incluido AES.

 

Gracias ezamudio

la idea es esta, mis usuarios al digitar su clave la encrypto y viaja encriptada por la red y de ese modo la guardo en base de datos oracle.
no se cual seria la mejor forma de implementar un login seguro con AES 256 si dejo que oracle haga todo ese proceso o desde java mando mi trama con la clave ya ecriptada???

ESTE CODIGO FUNCIONA GRACIAS A EZAMUDIO

 

Imagen de ezamudio

pero...

qué es lo que estás haciendo ahí? hablaste en tu comentario anterior de cifrar passwords... AES es un algoritmo simétrico, y los passwords no deberían cifrarse de esa manera, a menos que sea absolutamente necesario que se puedan descifrar en el server (no me imagino para qué). Los passwords generalmente se deben digerir, con algo como SHA1 o SHA256 o aunque sea MD5. Lee el estándar PKCS5 o busca algo de PBE (Password-Based Encryption).

Porque aquí veo que hay un método "mágico"  , no tengo idea de cómo genera la llave pero pues para que se pueda cifrar y descifrar simplemente invocando ese método que no recibe ningún parámetro, me imagino que SIEMPRE genera la misma llave. Y pues usar la misma llave para cifrar datos de todos los usuarios o no usar nada y mandar todo en claro, es lo mismo.

El consejo más importante: no trates de inventar tu propio esquema de seguridad. Otra vez:No. Trates. De. Inventar. Tu. Propio. Esquema. De. Seguridad. Va a ser débil, impráctico, vulnerable, ineficiente... en fin. Mejor usa los algoritmos, mecanismos, esquemas, etc que ya han sido probados y que son estándares y para los cuales incluso hay bibliotecas que puedes usar, ya sea dentro del JDK o de terceros.

Piensa bien tu problema, plantea los requerimientos de seguridad y busca algo que realmente resuelva el problema. Este código que cifra datos usando AES siempre con la misma llave, en realidad sólo da la ilusión de seguridad pero es peor que no usar nada.

EDIT: ya vi el método  . Me imagino que esos bytes que recibes son un password en texto. Esto es de lo que estoy hablando; no se debe usar un password de texto así nomás como llave, porque entonces el espacio de llaves queda gravemente reducido. Hay que procesar ese password para generar realmente una llave numérica más fuerte. Lee acerca de PBE para generar buenas llaves a partir de un password. La llave para cada usuario debe ser única, incluso si dos usuarios tienen el mismo password, la llave que se genera debe ser distinta para cada uno.

OK SEGUN LO QUE ME MANDASTES A LEER

ok ezamudio lo que lei y me documente es que un logueo por ejemplo no recomienda usar algoritmos de encryptacion simetricos sino asimetricos, ya que si uso simetrico doy la posibilidad que si sacan la llave magica por decirlo de alguna manera pueden sacar la clave de ahi ezamudio son tu comentarios de que estas haciendo!!!... ya que siempre uso la misma llave magica, por lo que entendi si uso AES256 es que cada usuario se le genere y almace su propia llave magica con su password generado.

tu me dices algo que no te entiendo es que los password deben ser digeridos SHA1 o SHA256 o aunque sea MD5
bueno pues me documente y lei algo sobre sha 256.

sha 256
---------------------------------------

 

a partir de esta clave generada cual seria el paso a seguir???

A). con esa llave generada con sha 256 genero un AES 256 y la mando a oracle para que almacene la clave AES??

B). mando esa llave generada al server y en oracle se encargue de generar el AES.

c). no uso AES

D). o cual serial realmente el paso a seguir para que me quede una buena seguridad de claves de los usuarios

Imagen de ezamudio

no sé

No sé cuál es el paso a seguir porque no sé qué es lo que quieres lograr.

Si simplemente quieres almacenar los passwords de los usuarios de una forma segura, entonces C:no usas AES.

Cuando necesites validar el password, haces el mismo proceso y comparas el resultado con lo que tienes almacenado.

Si alguien no autorizado le echa ojo a tu tabla de usuarios, no tiene los passwords de los usuarios en una forma que le sirvan de algo.

El único problema es cuando un usuario olvida su password; no se lo puedes dar porque no lo sabes. Por lo tanto necesitas un proceso de "olvidé mi password" donde el usuario pueda poner otro password sin tener el anterior pero que no se preste para que un atacante se robe cuentas de usuarios.

Ahora, si lo que quieres es establecer un canal de comunicación segura, utiliza SSL.

using 256-bit AES con Cipher Block Chaining y PKCS#

 

Si alguien no autorizado le echa ojo a tu tabla de usuarios

ezamudio si alguien copia la clave generada no es lo mismo que que copiara la clave???

Imagen de ezamudio

Pues...

Supongo que por "clave generada" te refieres a la digestión del password que está almacenada en la base de datos. Qué puedo hacer yo con ese dato? Depende... si lo estás usando como llave para cifrar datos del usuario pues obviamente podré descifrarlos. Pero si sólo es para darle acceso al sistema al usuario, no me sirve de nada, porque no tengo manera de obtener el password original a partir de ese dato (ese es el objetivo de usar una digestión en vez de cifrado). No lo puedo usar para hacerme pasar por ese usuario.

Ahora que si ya me metí a tu base de datos pues hay toda una serie de problemas además de esto, pero para el día a día sirve también para que los usuarios tengan la tranquilidad de que el DBA o cualquier persona autorizada para ver esos datos no va a abusar de ellos, por ejemplo intentar usar el mismo password para entrar a otro sitio con la misma cuenta, etc. El personal autorizado no puede conocer los passwords que están almacenados.

Ayuda

disculpa me podrias ayudar con el siguiente blog alli publique mi codigo es de ajax y jsp al momento de guardar imagenes en una carpeta especifica de mi pc gracias