4

お客様がSSLに加えて暗号化の第2層を要求した場合、どうすればよいでしょうか。

たとえば、SSLトンネルがあり、顧客はそのトンネルを流れるデータに対称鍵暗号化を使用することを望んでいます。対称鍵はセッションベースであり、元のSSLトンネルを介してサーバーからクライアントに送信されます。

これがどのように安全であるかがわかりません。SSLトンネルが危険にさらされると、理論的には、セッション中に対称暗号化を実行するためにサーバーから送信される対称鍵も危険にさらされます。

誰かがこの状況について別の視点を提供できますか?事前に共有シークレットが確立されていれば(ワンタイムパスワードなど)、これによりセキュリティが強化されると確信していますが、シークレットはSSLを介してセッション全体に渡されるため、表示されません。それが私たちに追加のセキュリティをどのように購入しているか。

あなたはどう思いますか、そしてあなたは同様の経験をしましたか?

ありがとうございました

4

1 に答える 1

4

「私の最初の暗号」を読むことで、非常に巧妙な方法で車輪の再発明を行うことができると考える顧客の「次の素晴らしいアイデア」のように聞こえます:)

あなたが言うように対称鍵が一緒に送られるので、そのようなことは通常ナンセンスです。

ただし、これが理にかなっているシナリオの1つを考えることができます。多くの大企業や機関には、エンドツーエンドのSSL/TLS接続を禁止するポリシーがあります。プレーンテキストデータをスキャンしてウイルスなどを検出できるようにするために、ある時点で着信TLSを終了します。このような場合、内部盗聴を防ぐために、アプリケーションレベルでデータを追加で暗号化することが理にかなっています。

しかし、再びあなたは内部規制を破る可能性があります...

于 2011-07-31T20:44:05.570 に答える