私はこれに慣れていないので、sslアプリケーションでは、理想的には現実世界の状況で、サーバーとクライアントの両方がまったく同じ.keystoreファイルのコピーを持っているのか、それともこれがセキュリティ上のリスクになるのか疑問に思っていました. クライアントが実際のキーストア ファイルのコピーを持たずにこれを行う他の方法はありますか?
質問する
190 次
2 に答える
3
いいえ、クライアントとサーバーは同じキーストアを必要としません (通常、それらは同じではありません)。ただし、同じであれば機能します。
SSL 接続は、接続が確立されると対称キー暗号化に切り替わるハンドシェーク フェーズ中は、非対称の公開/秘密キー暗号化に依存します。
基本は次のとおりです。
- サーバーはその公開鍵をクライアントに送信します。
- クライアントは、サーバーの公開鍵で対称鍵を暗号化して応答します。
- 対称鍵を復号化するために必要な秘密鍵を持っているのはサーバーだけです。
- 次に、クライアントとサーバーは対称キーを使用して、それらの間で渡されるすべてのデータを暗号化します。
私が言うように、それは基本ですが、証明書のチェックとハンドシェークの仕組みに関しては、ここで説明されているように、もう少し続きます。
于 2013-05-24T12:21:05.693 に答える
1
絶対にありません
2 つのエンティティが同じ秘密鍵と証明書を使用することは、重大なセキュリティ違反になります。秘密鍵は、間違いなく秘密であることを意図しており、証明書は、その秘密鍵を所有する一意の ID に対応することを目的としています。その原則に対する違反は、基本的なセキュリティ エラーです。
于 2013-05-26T23:26:40.570 に答える