Autenticacion WebService mediante IIS

Hola Carlos!. Ten en cuenta que si lo que buscas es el máximo rendimiento, lo
puedes obtener con encriptación simétrica como estás haciendo ahora
(Rijndael, TripleDES, etc.) y sin embargo RSA y DSA (con Certificados) son
asimétricos, mucho mas seguros, pero mas lentos.
Por otro lado, comentas que el rendimiento de WSE 3.0 era bajo, pero es que
lo prabaste con la configuración mas lenta (con Certificados), que lo mas
comparable a eso sería si implementas tú la encriptación con DSA. Eso si lo
podrías llegar a comparar mas, no contra Rijndael que es simétrico. Es como
comparar un CAMION con mucha capacidad de carga y peso con un BOLIDO pero que
no puede tener mucho peso de carga. ;-)
Y una úlitma observación. ¿Utilizaste con WSE 3.0 Secure-Conversation?
(implementa especificaciones WS-SecureConversation). Con esta opción, incluso
con Certificados, en el momento en el que haya una comunicación en ambos
sentidos con volumen (como una conversación de la vida real), lo que hace es
que al principio se 'negocia' precisamente un token simétrico de sesión para
esa conversación, y a partír de ahí, el tráfico es mucho menor y la velocidad
de las llamadas y respuestas usando el mismo objeto-proxy del WebService es
mucho mayor. Implementar algo así por tu cuenta es relativamente complicado,
aunque interesante... ;-) Esto lo tienes 'out-of-the-box con WSE 3.0 y con
INDIGO.
CESAR DE LA TORRE
Software Architect
[Microsoft MVP - XML Web Services]
[MCSE] [MCT]

Renacimiento
[Microsoft GOLD Certified Partner]


"Carlos Maggiotti" escribió:

Es probable quer como tu dices mi metodo sea menos seguro y mas desprolijo a la hora de implementarlo.

Te comento, estoy usando una libreria propia en la que implemento el metodo de encriptacion Rijndael provisto por el framework. De esta manera, estoy obligado a impelmentar el metodo dentro del codigo. Cosa que le quita trasparencia y limpieza al codigo.

Pero en mi humilde opinion, si quiero basar mis aplicaciones distibuidas para mi empresa en WebServices, (ademas de asegurarme de que sean seguros), deberia buscar de que estos sean eficientes al momento de enviarme la data que les pida. No voy a discutirte de que WSE 3.0 no sea seguro, al contrario, pero encontre una gran penalizacion de performance al usarlo. Motivo suficiente para mi para decidir su no utilizacion.

Reemplazaria entonces WSE 3.0 por encriptacion propia y SSL para autenticacion de clientes.

Me resulto muy util el dato de RSA, es probable que adapte a mi libreria entonces para usar RSA como tu bien dices...

Habra que esperar entonces a Indigo...

Saludos cordiales...
CarlosMag

PD: Respecto a mi pregunta original... Tienes alguna sugerencia?


"CESAR DE LA TORRE [MVP]" escribió en el mensaje news:
> Ten en cuenta que el cifrado y descifrado de Certificados (Algoritmos
> Asimétricos) son mas lentos pero también los mas seguros. Si tu algoritmo de
> cifrado está basado en un algoritmo de tipo SIMETRICO (como por ejemplo
> también es WSE 3.0 con un TOKEN usuario-password o con un TOKEN de KERBEROS)
> el tiempo de cifrado y descifrado es mucho menor que con Certificados
> (asimétrico).
> Tengo unas preguntas para ti...:
> - ¿Qué tipo de "encriptación propia" hacías?
> - ¿Hacías algún algoritmo de cifrado serio y comparable a los Certificados
> (clave pública y privada, es decir, asimétrico)?
> - ¿El cifrado/descifrado lo haces de una forma transparente como WSE 3.0
> (filtros de Policy-Assertions) o lo tienes que implementar dentro de cada
> WebMethod de una forma nada transparente?.
>
> Por ejemplo, algo comparable en seguridad con el cifrado de Certificados con
> WSE 3.0 sería usando el algoritmo RSA (es uno asimétrico). Si usas algoritmos
> simétricos como TripleDES o Rijndael, estos son mucho mas rápidos pero mucho
> menos seguros también.
> Y aunque lo hicieras con un algoritmo serio como los que te comento (con
> clases del framework .NET), dudo que puedas hacer una implementación tan
> limpia y compatible con estándares WS-SECURITY como hace WSE 3.0.
> En definitiva, sinceramente, creo que debes de estar implementando algo
> realmente 'poco seguro' (si no es un algoritmo serio como utilizando clases
> del Framework del namespace System.Security.Cryptography).
> Como te comentaba, mas potente que WSE 3.0 en tecnología Microsoft,
> solamente conozco WCF (INDIGO).
> Si crees que tu sistema de encriptación 'propio' de Web-Services es muy
> bueno (mucho mejor que WSE 3.0...), te agradecería que me lo mandaras y te lo
> estudie. Te diré todo lo seguro que es tu implementación, OK?
> Mándame un mail con ello adjuntado si quieres a
> Saludos,
> CESAR DE LA TORRE
> Software Architect
> [Microsoft MVP - XML Web Services]
> [MCSE] [MCT]
>
> Renacimiento
> [Microsoft GOLD Certified Partner]
>
>
> "Carlos Maggiotti" escribió:
>
>> Hice un testing de envio de 5000 registros a traves de un DataSet.
>> Con WSE 3.0, frente a un modelito simple de encriptacion de data propio (sin
>> WSE 3.0)
>>
>> La conclusion fue que con WSE 3.0 me tardo el triple de tiempo de respuesta.
>> Es mas, la maquina me quedaba frizada mientras procesaba el envio, y el
>> disco rigido trabajando a full.
>>
>> "CESAR DE LA TORRE [MVP]" escribió en el mensaje
>> news:
>> > Bueno, comparando WSE 3.0 con WCF (Windows Communication Foundation,
>> > aka.INDIGO), hay mucha diferencia. Pero actualmente, hasta que salga
>> > RELEASED
>> > WCF, WSE 3.0 es lo mejor que existe para WebServices avanzados en
>> > tecnología
>> > Microsoft...
>> > ¿Qué es lo que te pareció concretamente tan POBRE de WSE 3.0?
>> > CESAR DE LA TORRE
>> > Software Architect
>> > [Microsoft MVP - XML Web Services]
>> > [MCSE] [MCT]
>> >
>> > Renacimiento
>> > [Microsoft GOLD Certified Partner]
>> >
>> >
>> > "Carlos Maggiotti" escribió:
>> >
>> >> Si .
>> >> Ya lo estuve probando con autenticacion mediante certificados y el
>> >> desempeño
>> >> me parecio MUY pobre.
>> >>
>> >> Saludos
>> >> CarlosMag
>> >>
>> >> "CESAR DE LA TORRE [MVP]" escribió en el mensaje
>> >> news:
>> >> > Lo mas potente y seguro ahora mismo (sobre Visual Studio 2005) es con
>> >> > Microsoft WSE 3.0 (download gratuito y soportado por Microsoft).
>> >> > Y dentro de 9 meses aprox, cuando salga WinFX al mismo tiempo que
>> >> > Windows
>> >> > Vista, lo mejor será con WCF (Windows Communication Foundation,
>> >> > aka.INDIGO).
>> >> > CESAR DE LA TORRE
>> >> > Software Architect
>> >> > [Microsoft MVP - XML Web Services]
>> >> > [MCSE] [MCT]
>> >> >
>> >> > Renacimiento
>> >> > [Microsoft GOLD Certified Partner]
>> >> >
>> >> >
>> >> > "Carlos Maggiotti" escribió:
>> >> >
>> >> >> Buenas gente...
>> >> >>
>> >> >> Alguien me podria sugerir un paso a paso para lograr la autenticacion
>> >> >> de
>> >> >> clientes en el consumo de WebServices mediante IIS?
>> >> >>
>> >> >> Saludos y gracias de antemano...
>> >> >> CarlosMag
>> >> >>
>> >> >> Carlos Maggiotti
>> >> >> Departamento de Sistemas
>> >> >> Fundicion San Cayetano
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>