【发布时间】:2013-12-10 14:59:50
【问题描述】:
我正在使用 Machinekey.Protect 和 Machinekey.Unprotect 来加密我的应用程序中的值。一位潜在客户正在执行安全审计,并询问了此方法使用的加密算法,我正在努力使用谷歌找到答案。
任何有关可验证链接的帮助将不胜感激!
谢谢, 约翰
【问题讨论】:
【发布时间】:2013-12-10 14:59:50
【问题描述】:
加密和散列算法在 Web.config 中的 <machineKey> element 中指定。
默认为 AES256。
【讨论】:
-
次要问题:如果您使用自动生成的
,MachineKey.Protect 的默认算法实际上是 AES-256。否则,ASP.NET 运行时会尊重您在 中明确指定的算法和密钥长度. -
@Levi: blogs.msdn.com/b/webdev/archive/2012/10/22/… 说 192?还是在 4.5 中发生了变化?
-
@SLaks:该页面特别讨论了 ASP.NET 4.0,其中自动生成使用 AES-192(具有 160 位熵)。查看第二天的帖子 (blogs.msdn.com/b/webdev/archive/2012/10/23/…) 了解 ASP.NET 4.5,其中 auto-gen 使用 AES-256(具有完整的 256 位熵)。
-
@SLaks 你知道为什么 MachineKey 的 descriptionKey 和 validationKey 分别是 256 位和 512 位吗?我的猜测是支持 512 位算法,但如果你使用 AES256,它只使用两个密钥的一半?