Puncte:2

Combinând ECC și AES pentru un sistem Web Chat

drapel us

Lucrez la un chat portabil securizat prin desktop sau mobil, care adoptă OTP plus criptare asimetrică. Ideea este asa:

Să presupunem că Alice și Bob sunt clienți, iar serverul este condus de Steve.Steve generează perechea de chei private/publice de server, în timp ce Alice și Bob generează perechile lor de chei client`. Pentru fiecare mesaj, clientul generează o cheie AES aleatorie pentru criptarea acelui mesaj specific, care este apoi criptată cu cheia publică a serverului. Clientul semnează mesajul și cu cheia sa privată. Serverul decriptează un astfel de mesaj, îl criptează cu cheia publică a fiecărui client online și îl transmite acestora.

Există vreo problemă cu încărcarea procesorului pe server sau client sau cu încălcări de securitate care au loc în timpul transferului de mesaje sau este această idee pur și simplu inutilă și trebuie eliminată? Perechea de taste ECC ar fi de 521 de biți, în timp ce cheia AES ar fi de 256 de biți.

Eugene Styer avatar
drapel dz
Vreun motiv special pentru a nu folosi TLS (care face în mare parte același lucru)?
Red Sun avatar
drapel us
@EugeneStyer Vreau ca această aplicație de chat să ruleze pe un alt port decât 443 sau 8080, prin urmare TLS ar putea fi inutilizabil.
Eugene Styer avatar
drapel dz
Portul 443 este folosit pentru HTTPS (care folosește TLS), dar TLS în sine nu se limitează la acele porturi. Puteți specifica portul # care va fi utilizat atunci când creați soclul TLS/SSL.
Paul Uszak avatar
drapel cn
La ce aveai de gând să folosești OTP-urile?
Red Sun avatar
drapel us
@PaulUszak Voi cripta fiecare mesaj cu o cheie AES aleatorie diferită. Asta vreau să spun pentru OTP.
Puncte:1
drapel cn

Mă refer la propriul răspuns.

utilizarea TLS este suficient de bună

Există vreo problemă cu ...snip... breșe de securitate care au loc în timpul transferului de mesaje,

Ei bine, da, există o problemă. Ați înțeles implicația comentariului criptic al lui @forest? E2E = un capăt la altul. Ã la Semnal.

Cu TLS, mesajele client/server vor fi criptate, dar mesajele vor fi text simplu pe măsură ce trec prin server. Asta înseamnă că oricine are acces fizic/judiciar la server va putea citi toate mesajele. Și inițiați Bărbatul din mijloc atacuri. Citiți despre toate necazuri cu telefoane Blackberry.

Totul este despre ceea ce vrei să obții, iar unele dintre acestea pot fi supărătoare.

Puncte:0
drapel us

Asa ca am gasit raspunsul.Răspunsul oferit în comentariul lui Eugene Styer afirmă că doar utilizarea TLS este suficient de bună, deoarece TLS nu se limitează la un anumit port.

forest avatar
drapel vn
Ei bine, cu siguranță nu va fi E2E...
Ben Voigt avatar
drapel cn
@forest: Întrebarea nu descrie nici un sistem end-to-end

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.