Passa al contenuto principale

7.3.4. Confusione nella specifica della chiave (Key Specification Mixup)

7.3.4. Confusione nella specifica della chiave (Key Specification Mixup)

L'esistenza di una firma valida su un messaggio HTTP non è sufficiente a provare che il messaggio è stato firmato dalla parte appropriata. Spetta al verificatore garantire che una data chiave e algoritmo siano appropriati per il messaggio in questione. Se il verificatore non esegue tale passaggio, un attaccante potrebbe sostituire la propria firma usando la propria chiave su un messaggio e forzare un verificatore ad accettarlo ed elaborarlo. Per contrastare ciò, il verificatore deve garantire non solo che la firma possa essere convalidata per un messaggio ma che la chiave e l'algoritmo usati siano appropriati.

Ultimo aggiornamento il