可怜人的SSL -这种方法和SSL/TLS一样安全吗?
可怜人的SSL -这种方法和SSL/TLS一样安全吗?
提问于 2012-07-04 20:31:01
我需要在两个应用程序之间发送数据。我有这样的要求:数据应该使用安全协议(如SSL/TLS )来传输。数据是使用TCP套接字发送的,我没有内置SSL/TLS支持。但是,我可以使用AES加密内容,也可以使用https交换少量数据。我正在考虑使用https交换对称加密密钥,然后在通过网络发送数据之前先用AES加密数据。
我完全控制着交换情报的双方。密钥使用SSL交换,我知道双方都可以使用AES。我想任何人都不可能在不知道密钥的情况下解密这些数据。我同意有人可以中断传输,但这只是噪音,因为他必须知道用它加密数据的密钥。
这个解决方案安全吗?在安全性方面,它能与使用SSL/TLS相比吗?有什么明显的安全漏洞吗?您认为在消息的安全性方面是否有任何缺陷(我的意思是,未经授权的人将其数据作为传输的一部分发送,或者读取我传输的数据)?
回答 1
Cryptography用户
回答已采纳
发布于 2012-07-05 12:33:47
TLS不仅提供隐私,而且还提供身份验证:
- 您可以确定您知道与谁交谈(至少客户端知道服务器是否在使用证书)。(您通过在开始时所做的"HTTPS密钥交换“来提供此功能。)
- 您可以确定,在整个连接的整个生命周期中,您都与另一方的同一实体交谈(即使您不知道这是谁,例如,作为一个具有未经身份验证的客户端的服务器)。
- 你可以确定你得到的正是对方发送的东西,而不是双方之间的某个人修改的东西。
AES (或任何其他分组密码)在流模式(如CBC,CFB,OFB,CTR,.)不提供这种保证。正因为如此,对这些模式的各种攻击也危害了您的隐私。
所以要确保你不是
- 使用也包括身份验证的操作模式(查找"AEAD")或
- 与外部MAC (如HMAC)一起使用正常的隐私模式,并在密钥交换期间将MAC密钥与加密密钥一起传输)。
页面原文内容由Cryptography提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://crypto.stackexchange.com/questions/3139
复制相关文章
相似问题
腾讯云开发者
