45 votes

DSO avatar

Utiliser ASP.NET machineKey pour crypter mes propres données

Demandé el 10 de Septembre, 2010
Quand la question a-t-elle été
8193 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Je souhaite crypter certaines données dans une application ASP.NET MVC afin d'empêcher les utilisateurs de les manipuler. Je peux utiliser les classes de cryptographie pour effectuer le cryptage/décryptage proprement dit, sans aucun problème. Le principal problème est de savoir où stocker la clé de chiffrement et de gérer les modifications qui y sont apportées.

Puisque ASP.NET maintient déjà une machineKey pour diverses choses (ViewData encryption, etc), je me demandais s'il y avait des fonctions ASP.NET qui me permettaient d'encrypter/décrypter mes propres données en utilisant la machineKey ? De cette façon, je n'aurais pas à concevoir mon propre système de gestion des clés.

Demandé el 10 de Septembre, 2010 par DSO

Réponses

Trop de publicités?

48voto

Marco Bettiolo avatar
Marco Bettiolo Points 1022

Avec .NET Framwork 4.5, vous devez utiliser la nouvelle API :

public class StringProtector
{

    private const string Purpose = "Authentication Token";

    public string Protect(string unprotectedText)
    {
        var unprotectedBytes = Encoding.UTF8.GetBytes(unprotectedText);
        var protectedBytes = MachineKey.Protect(unprotectedBytes, Purpose);
        var protectedText = Convert.ToBase64String(protectedBytes);
        return protectedText;
    }

    public string Unprotect(string protectedText)
    {
        var protectedBytes = Convert.FromBase64String(protectedText);
        var unprotectedBytes = MachineKey.Unprotect(protectedBytes, Purpose);
        var unprotectedText = Encoding.UTF8.GetString(unprotectedBytes);
        return unprotectedText;
    }

}

Idéalement, le "but" devrait être une valeur connue, valable une seule fois, afin d'éviter la falsification.

Répondu el 13 de Novembre, 2012 par Marco Bettiolo (1022 Points )

40voto

Jeff Moser avatar
Jeff Moser Points 11452

La nouvelle Clé de machine dans ASP.NET 4.0 fait exactement ce que vous voulez.

Par exemple :

public static class StringEncryptor {
    public static string Encrypt(string plaintextValue) {
        var plaintextBytes = Encoding.UTF8.GetBytes(plaintextValue);
        return MachineKey.Encode(plaintextBytes, MachineKeyProtection.All);
    }

    public static string Decrypt(string encryptedValue) {
        try {
            var decryptedBytes = MachineKey.Decode(encryptedValue, MachineKeyProtection.All);
            return Encoding.UTF8.GetString(decryptedBytes);
        }
        catch {
            return null;
        }
    }
}

MISE À JOUR : Comme indiqué aquí Si vous n'utilisez pas cette fonction, vous risquez de permettre à quelqu'un de falsifier un jeton d'authentification de formulaire.

Répondu el 19 de Octobre, 2011 par Jeff Moser (11452 Points )

9voto

Nicholas Piasecki avatar
Nicholas Piasecki Points 13681

Je suppose que ce n'est pas le cas directement. Je ne me souviens plus où j'ai trouvé cela, probablement une combinaison de Reflector et de quelques blogs.

public abstract class MyAwesomeClass
{
    private static byte[] cryptKey;

    private static MachineKeySection machineKeyConfig =
        (MachineKeySection)ConfigurationManager
            .GetSection("system.web/machineKey");

    // ... snip ...

    static MyAwesomeClass()
    {
        string configKey;
        byte[] key;

        configKey = machineKeyConfig.DecryptionKey;
        if (configKey.Contains("AutoGenerate"))
        {
            throw new ConfigurationErrorsException(
                Resources.MyAwesomeClass_ExplicitAlgorithmRequired);
        }

        key = HexStringToByteArray(configKey);

        cryptKey = key;
    }

    // ... snip ...

    protected static byte[] Encrypt(byte[] inputBuffer)
    {
        SymmetricAlgorithm algorithm;
        byte[] outputBuffer;

        if (inputBuffer == null)
        {
            throw new ArgumentNullException("inputBuffer");
        }

        algorithm = GetCryptAlgorithm();

        using (var ms = new MemoryStream())
        {
            algorithm.GenerateIV();
            ms.Write(algorithm.IV, 0, algorithm.IV.Length);

            using (var cs = new CryptoStream(
                 ms, 
                 algorithm.CreateEncryptor(), 
                 CryptoStreamMode.Write))
            {
                cs.Write(inputBuffer, 0, inputBuffer.Length);
                cs.FlushFinalBlock();
            }

            outputBuffer = ms.ToArray();
        }

        return outputBuffer;
    }

    protected static byte[] Decrypt(string input)
    {
        SymmetricAlgorithm algorithm;
        byte[] inputBuffer, inputVectorBuffer, outputBuffer;

        if (input == null)
        {
            throw new ArgumentNullException("input");
        }

        algorithm = GetCryptAlgorithm();
        outputBuffer = null;

        try
        {
            inputBuffer = Convert.FromBase64String(input);

            inputVectorBuffer = new byte[algorithm.IV.Length];
            Array.Copy(
                 inputBuffer, 
                 inputVectorBuffer,
                 inputVectorBuffer.Length);
            algorithm.IV = inputVectorBuffer;

            using (var ms = new MemoryStream())
            {
                using (var cs = new CryptoStream(
                    ms, 
                    algorithm.CreateDecryptor(), 
                    CryptoStreamMode.Write))
                {
                    cs.Write(
                        inputBuffer,
                        inputVectorBuffer.Length, 
                        inputBuffer.Length - inputVectorBuffer.Length);
                    cs.FlushFinalBlock();
                }

                outputBuffer = ms.ToArray();
            }
        }
        catch (FormatException e)
        {
            throw new CryptographicException(
                "The string could not be decoded.", e);
        }

        return outputBuffer;
    }

    // ... snip ...

    private static SymmetricAlgorithm GetCryptAlgorithm()
    {
        SymmetricAlgorithm algorithm;
        string algorithmName;

        algorithmName = machineKeyConfig.Decryption;
        if (algorithmName == "Auto")
        {
            throw new ConfigurationErrorsException(
                Resources.MyAwesomeClass_ExplicitAlgorithmRequired);
        }

        switch (algorithmName)
        {
            case "AES":
                algorithm = new RijndaelManaged();
                break;
            case "3DES":
                algorithm = new TripleDESCryptoServiceProvider();
                break;
            case "DES":
                algorithm = new DESCryptoServiceProvider();
                break;
            default:
                throw new ConfigurationErrorsException(
                    string.Format(
                        CultureInfo.InvariantCulture,
                        Resources.MyAwesomeClass_UnrecognizedAlgorithmName,
                        algorithmName));
        }

        algorithm.Key = cryptKey;

        return algorithm;
    }

    private static byte[] HexStringToByteArray(string str)
    {
        byte[] buffer;

        if (str == null)
        {
            throw new ArgumentNullException("str");
        }

        if (str.Length % 2 == 1)
        {
            str = '0' + str;
        }

        buffer = new byte[str.Length / 2];

        for (int i = 0; i < buffer.Length; ++i)
        {
            buffer[i] = byte.Parse(
                str.Substring(i * 2, 2),
                NumberStyles.HexNumber,
                CultureInfo.InvariantCulture);
        }

        return buffer;
    }
}

Caveat emptor !

Répondu el 10 de Septembre, 2010 par Nicholas Piasecki (13681 Points )

3voto

Nariman avatar
Nariman Points 3484

Si vous travaillez avec la version 3.5 ou antérieure, vous pouvez éviter beaucoup de code et vous contenter de faire ceci :

public static string Encrypt(string cookieValue)
{
    return FormsAuthentication.Encrypt(new FormsAuthenticationTicket(1,
                                                                     string.Empty,
                                                                     DateTime.Now,
                                                                     DateTime.Now.AddMinutes(20160),
                                                                     true,
                                                                     cookieValue));
}

public static string Decrypt(string encryptedTicket)
{
    return FormsAuthentication.Decrypt(encryptedTicket).UserData;
}

Un de mes collègues m'a incité à le faire et je pense qu'il est assez raisonnable de le faire pour les cookies personnalisés, si ce n'est pour les besoins généraux de cryptage.

Répondu el 3 de Octobre, 2012 par Nariman (3484 Points )

0voto

Chris Fulstow avatar
Chris Fulstow Points 19762

Vous pourrez peut-être réutiliser le MembershipProvider.EncryptPassword (mot de passe crypté) qui, à son tour, utilise certaines méthodes de cryptage (malheureusement internes) de la méthode MachineKeySection classe.

Répondu el 10 de Septembre, 2010 par Chris Fulstow (19762 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X