Puncte:0

Evitați atacul MITM în ECDH fără HTTPS sau o autoritate de certificare terță

drapel cn

Contextul meu: Am un protocol ECHD, principala mea preocupare este atacul MITM, nu contează dacă faci HMAC sau orice altceva în viitor pentru a semna cereri dacă schimbul de chei este compromis,

Departe de https și de o autoritate de certificare terță, este posibil să protejăm acest canal, ținând cont (presupunând că https nu este sigur și nu avem o autoritate de certificare) de atacurile MITM?

Ce am in vedere: Faceți ECDSA, cu o „sare” sau „piper” codificată prezentă în mobil și backend, care în esență nu este partajată niciodată într-un canal „ostil” prin intermediul rețelei:

Mobil: ECDSA (mesaj+sare/piper) -> Trimite la backend cu cheie publică Backend: (date primite + sare/piper) _> Verificați semnătura cu cheia publică a mobilului

Acest proces este în două părți (vom face același lucru când primim un răspuns de serviciu)

Aceasta este o abordare umilă, lucrăm în industria financiară și căutăm să ne creștem securitatea în cel mai rău caz; Știu că a avea date/cheie/sare codificate și care nu se rotesc nu este, în cele mai multe cazuri, o idee bună; feedback-ul experților, în acest context este neprețuit, cum protejezi acest canal fără https sau autorități de certificare? bineinteles, poate e imposibil, dar poate nu, te aud si multumesc anticipat!

knaccc avatar
drapel es
Cel mai ușor și mai sigur lucru de făcut este să utilizați TLS cu propriul certificat CA autosemnat, pe care îl instalați în magazinele de încredere ale fiecărui client. Dacă reinventați roata, atunci puteți realiza același lucru prin codificarea hard a unei chei publice a serverului în client și apoi puneți serverul să semneze cheia publică efemeră ECDH cu cheia publică a serverului codificată, astfel încât nu există un atac MITM. Presupun că clientul va fi, de asemenea, autentificat la server cu o parolă sau un alt mecanism odată ce sesiunea este stabilită.
Freddy Maldonado Pereyra avatar
drapel cn
da, modul în care autentificăm conexiunea este cu antetele http, trimițând o cheie api și un utilizator api pe care le oferim mai devreme; vom merge cu CA autosemnată tls, vă mulțumim pentru răspuns!! @knaccc

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.