問題タブ [sha]

SHA2 でいくつかのパスワードをハッシュしようとしています。

それを行うためのJavaコードのスニペットはどこで入手できますか?

その投稿を見たことがありますが、何か足りないものがあります: Javaを使用したSHA2パスワードストレージ

フレーズは、エンコードしたい文字列ですよね？そして、鍵は何ですか（2行目）

前もって感謝します

リストWebサービスの「UpdateListItems」メソッドを使用してSharePointリストアイテムを更新しようとしています。CAMLクエリ：

itemID、itemStatusであり、UIからパラメーターとして渡されます。これにより、次のエラーが発生します

誰でも助けることができます。もう1つの質問は、更新方法がIDに基づいてのみ機能するか、タイトルも渡す可能性があるかどうかです。

ありがとう

WindowsのプログラムでHMACSHAを計算する必要があります。このプログラムは、以前は、opensslを使用していたLinuxで実行されていました。次に、Windowsに移植する必要がありますが、WindowsプラットフォームSDKがHMACSHAを計算する手段を提供しているかどうかはわかりません。

msdnで次のリンクを確認しましたが、わかりません-http://msdn.microsoft.com/en-us/library/aa382453(v=VS.85) .aspx。

私にとって最善の方法を教えてください。既存のプログラムはCです。

ここSOを含め、ネット全体を検索しました。パスワードをハッシュして保存する前に、パスワードをソルトする必要性について多くの議論があります。

暗号化に使用されるキーを計算するためにパスワードが使用される場合 (「パスワードベースの暗号化」): パスワードをまったく保存しないとどうなりますか?

• [注: SO: パスフレーズ、ソルト、IV を読みましたが、これらはすべて必要ですか? およびIVは塩のように機能しますかは確かに関連する質問です。そこで議論された初期化ベクトルがここの質問にどのように関連しているかはわかりません]

仮定する：

暗号化用

1. ユーザーはマスターパスワードを入力します
2. これは SHA256 ハッシュであり、出力はファイルの AES256 暗号化に使用されます
3. ハッシュは保存されません(もちろんマスターパスワードも保存されません)

復号用

4. ユーザーはマスターパスワードを入力します
5. これは SHA256 ハッシュであり、出力はファイルの復号化に使用されます
6. 復号化が成功した場合、パスワードは明らかに正しいものでした

私の質問：

暗号化されたファイル自体以外は何も保存しない場合、マスターパスワードをハッシュする前にソルトすることに利点はありますか?

考慮事項:

• おそらくハッシュ衝突の可能性を減らすでしょう
• 塩を保管する必要があります。

• ソルトが失われたり破損したりした場合、ユーザーはファイルを復号化できなくなります

• ステップ3で復号化が成功したことを確認する方法: ファイルの内容の一部を知る必要がありますか?

• もしそうなら、暗号化されたファイルに既知の値を保存している偽物がどれだけあるか (これは常に防止できるわけではありません - 攻撃者は、たとえばユーザーの姓がファイルのどこかで暗号化されていると推測する可能性があります - 正しいです)。

目標: ログインを作成しようとしています。登録ページはこれを使用して、入力に基づいてユーザー名とパスワードを作成します。

登録

ログイン.php

表示されるエラーは ですが、Wrong User or Passログインしようとしたときのパスワードは次のとおりです。

ユーザーのデータベース内のパスワードとデータベース内のpoopパスワードpoopは次のとおりです。

これらのパスワードが異なるのはなぜですか?! 誰か助けてくれませんか？

私が取り組んでいるプロジェクトでは、セキュリティ フレームワークとして Apache Shiro を使用しています。パスワードは SHA1 でハッシュされます (ソルトなし、反復なし)。ログインはSSLで保護されています。ただし、アプリケーションの残りの部分は SSL で保護されていません。このコンテキスト (SSL なし) では、ユーザーがパスワードを変更できるフォームが必要です。そのまま送信するのは得策ではないため、クライアントでハッシュしてからサーバーに送信する必要があります。クライアントは GWT (2.3) ベースであるため、bouncycastle のコードを使用するこのライブラリhttp://code.google.com/p/gwt-cryptoを試しています。ただし、多くの場合 (すべてではありません)、両方のフレームワークによって生成されるハッシュは 1 ～ 4 文字 (?) 異なります。たとえば、「happa3」は次のようにハッシュされます

両方の実装で、「happa」だけがハッシュされます

Shiroの実装によって、そして

gwt-crypto 実装による (23 番目の文字が異なります)。「正しい」/標準のSHA1ハッシュがあるかどうか、ライブラリの1つにバグがあるのか​​ 、それとも私の使用法に欠陥があるのか​​ 疑問に思います。私の最初の考えの 1 つは、さまざまなトランスポート メカニズム (RPC と Post) によるさまざまなエンコーディングまたは奇妙な変換に関するものでした。私の知る限り (そして私を最も困惑させているのは)、SHA1 ハッシュは、わずか 1 ビットの違いがあれば、高い確率で完全に異なるはずです。したがって、異なるエンコーディングはここでは問題になりません。ハッシュのためにクライアント（GWT）でこのコードを使用しています：

そして、これはサーバー（Shiro）で：

どの afaics が舞台裏で非常によく似た処理を行っているか (ソース コードを簡単に確認できます)。ここで明らかなことを見逃しましたか？

編集: GWT コードが何らかの理由で (つまり、開発モードで) ネイティブに実行されず、サイレントに失敗するようです (ただし、コンパイルは行われます)。その理由を突き止めなければならない...

編集 (2): "int val = sha1.doFinal(result, 0);" 問題を起こす行です。つまり、存在する場合、コード全体がネイティブ (JS) で実行されず、開発モードでのみ実行されます (結果が間違っています)。

概念的に、これには苦労しています。

基本的に、任意の一意の文字列を受け入れ、それを正規化された浮動小数点値に変換できる必要があります。同じ文字列入力が常に同じ正規化された float 出力になる限り、出力 float 値が何であるかは実際には重要ではありません。

これはハッシュアルゴリズムですよね？私は SHA1 または MD5 に精通していますが、これは正しいパスワードに対して結果が同じであるパスワード ハッシュに似ているようです。しかし、それらのメソッドは文字列を出力すると思います。そして、私が得ていないのは、SHA1 または MD5 の結果を一貫した float 値に変換する方法です。

では、任意の文字列をランダムだが一貫性のある float 値に変換するには、Ruby でどのようなアプローチを取ることができるでしょうか?

GitとGitHubはどちらもSHAの短いバージョン（40個すべてではなく最初の7文字のみ）を表示し、GitとGitHubはどちらもこれらの短いSHAを引数として使用することをサポートしています。

例えばgit show 962a9e8

例：https ：//github.com/joyent/node/commit/962a9e8

可能性のあるスペースが桁違いに低くなり、「わずか」2億6800万になったことを考えると、GitとGitHubはここでの衝突からどのように保護するのでしょうか。そして、彼らはそれらをどのように処理しますか？

ユーザーのメールアドレスを確認しています。
ほとんどの人が言う方法は、いくつかの一意のトークンを作成してそれをdbに保存し、ユーザーに送信することです。

私は、サイト全体のソルトを使用して電子メールアドレスをハッシュ（sha256）し
、このハッシュをユーザーに送信するだけでそれを行っています。

私は何かが足りないのですか、それともこれで確認できますか？