OpenSSL & secret key generering

November 1, 2024

Ressourcer:

Bog: Microservices Security in Action

Da-da-da-daaaaam

Vi er nu kommet til at der skal issues JWT-tokens baseret på succesfuldt login og til det skal vores Security Token Service (STS) bruge en secret key.

Dette er et hurtigt post som jeg laver i forbindelse med generering af en secret key til vores STS til signing af JWT-tokens. Efter at have browset rundt på inter-nettet kunne jeg hurtigt konkludere at det at bruge "dinmor32" ikke var en god secret key til at signere JWT-tokens med. Den var ikke lang nok, kunne brute-forces, havde en forudsigelighed i og med at den er orienteret til menneskelig meningsdannelse i form af ord og ja --- det var ikke en random genereret 32 byte string!

Hvilket værktøj kunne man bruge? Man kunne oprette en C# solution som bestod af givende kode:
køre den, og bruge den kreeret kode...

Og man kunne bruge det højtelskede værktøj: OpenSSL

Og bruge den kreeret streng. Så simpelt kan det gøres.
Det er ikke den key vi har valgt at bruge til vores STS, så lad endelig, lad endelig! bare vær' med at prøve den.

Jeppe Porsing

OpenSSL & secret key generering

Ressourcer:

Da-da-da-daaaaam

Vi er nu kommet til at der skal issues JWT-tokens baseret på succesfuldt login og til det skal vores Security Token Service (STS) bruge en secret key.

Og man kunne bruge det højtelskede værktøj: OpenSSL

Måske kan du også lide

Penetrationstest - Pentesting af en SMB server (TryHackMe)

Hvorfor API Gateways er sejt

Docker Secrets - Sikker håndtering af følsomme data

Refleksioner 02