Можете ли вы сделать симметричное шифрование атрибутов SAML в SAML 2.0?

Question

Можете ли вы сделать симметричное шифрование для атрибутов SAML в SAML 2.0? Мы можем показаться асимметричными. Какие плюсы и минусы?

Answer 1

SAML 2.0 использует шифрование XML (раздел 5.2.1 и 5.2.2). С учетом вышесказанного в разделе 4.2 документов о соответствии SAML 2.0 указано, что должен поддерживать следующие требования для соответствия требованиям SAML 2.0:

• Блочное шифрование: TRIPLE DES, AES-128, AES-256.
• Транспортировка ключей: RSA-v1.5, RSA-OAEP

Другими словами, SAML 2.0 обязывает вас использовать асимметричные ключи.

Таким образом, «минусами» будет то, что вы не соответствуете SAML 2.0, если используете симметричное шифрование атрибутов SAML, что приведет к проблемам с возможностью взаимодействия с другими партнерами SAML 2.0. Однако это не означает, что вы не можете использовать этот тип шифрования, если ваш партнер также поддерживает это.

Что касается "плюсов", то симметричное шифрование быстрее (мне говорят, что оно требует меньше вычислительных ресурсов), но я уверен, что оно не стоит компромисса в отношении соответствия.

Answer 2

Имейте в виду, что в действительности вы всегда используете как асимметричное, так и симметричное шифрование - это лучшая практика в области безопасности.Базовый метод шифрования блоков, который является симметричным (как отметил Иан: Triple DES, AES и т. Д.).Асимметричный является предпочтительным из-за более высокой безопасности (большие размеры ключей и т. Д.) - и простоты обеспечения безопасности закрытых ключей (необходимо распространять только открытые ключи).Однако благодаря своей производительности он используется только как средство обмена симметричными ключами.Симметричное шифрование большей части данных выполняется для скорости.

В спецификации XML Encryption элемент EncryptedData содержит симметрично зашифрованные данные, а EncryptedKey - это ваш симметричный ключ шифрования / дешифрования, зашифрованный с помощью асимметричного шифрования.

Answer 3

Если вы хотите понять XML-шифрование, классическая версия «Безопасный XML: новый синтаксис для подписей и шифрования» Дона Истлейка по-прежнему остается лучшей. Он объясняет компромиссы в проектах для XML Enc и DSig и дает советы по реализации. За 9 лет, прошедших с момента его написания, возникло много соглашений об этих компромиссах, которые вы можете найти с помощью поиска.

Мой коллега, Ян, перечислил необходимые алгоритмы SAML 2.0, поэтому вы можете сосредоточиться на них в книге Истлейка. И, как вы, вероятно, знаете, «требуемый» в спецификации означает, что если вы ограничитесь только этим, вы будете совместимы.

Наконец, этот метод, описанный Скоттом, заключается в генерации случайного симметричного ключа, шифровании данных с его помощью, а затем в шифровании случайного симметричного ключа с открытым ключом шифрования вашего получателя, который часто называется цифровым охватом и используется повсеместно в криптографии от SSL до систем управления ключами.