AS3を使用してFlashで構築されたクライアントをサーバー化するサーバーアプリケーションをJavaで構築しています。as3cryptoライブラリは、暗号化を行うためにRSAキーのモジュラスを必要とするため、サーバーからクライアントにキーのモジュラスを渡すことを考えていました。キーを暗号化せずにそれを行うのは安全ですか?
1 に答える
1
まず、SSL/TLS はすでに堅牢な (TLS 1.1) プロトコルであり、作り物ではないため、より良い選択です。第二に、モジュラスを渡すことは問題ありません。少なくとも、そうあるべきです。RSA を適切に使用している場合、Modulus は 2 つの素数で構成され、それぞれが少なくとも 1024 ビット長である必要があります。正確に何を渡すかだけに注意する必要があります。RSA (Public Crypto System) キーには 2 つの部分があります。公立1台、私立1台。RSA では、オープン チャネルを介して素数の積のみを渡すことができます (これはまったく認証を提供しません)。指数ではありません。モジュラスを暗号化することはできません.2番目のエンベロープをクラックする必要があり、それでもモジュラスに到達するため、問題は外側のモジュラスを知ることにシフトするだけです。
TLS レイヤーを使用すると、より安全になることは認めざるを得ません。すでにあるものを使用してください。本当に独自のプロトコルが必要な場合は、モジュラスを安全に渡すことができます。(ほとんどの場合。暗号化では、プロトコルが堅牢であるという保証はありません)
于 2011-11-09T03:12:31.297 に答える