|
|
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
Коллеги, мне надо при построении клиентской сессии передать симметричный код шифрования аппсерверу. Какие "подводные камни" на моем пути, если аппсервер будет периодически выкладывать открытый ключ асимметричного алгоритма на FTP сервер? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 01:03 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев Коллеги, мне надо при построении клиентской сессии передать симметричный код шифрования аппсерверу. Какие "подводные камни" на моем пути, если аппсервер будет периодически выкладывать открытый ключ асимметричного алгоритма на FTP сервер? Ну вот как вообще такая мысль может прийти в голову...передавать симметричный ключ...в незашифрованном виде.? Ну если у Вас действует принцип "неуловимого Джо"(не потому,что его не могут поймать ,а он на#й никому не нужен) Ну не используйте шифрование вообще тогда. Есть же уже давно отработанные технологии формирования симметричного ключа на базе SSL на технологии ассиметричного шифрования RSA. Суть которого (если коротко) Два респондента сгенерировали у себя некий набор данных. И часть этих данных(в этом вся фишка ,что часть данных) послали друг другу...и на основании этих полученных кусочков клиенты сгенерировали на своей стороне симметричный ключ сессии по математическому алгоритму. Перехват этих кусочков мало,что дает ибо это лишь кусочки...ответная часть хранится в памяти клиентов и без них злоумышленнику надо сесть за квантовый компьютер,дабы восстановив их повторить симметричный ключ сессии. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 10:29 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
будет периодически выкладывать открытый ключ асимметричного алгоритма на FTP сервер? В догонку...вот этого не понял вообще (И мне вначале привидилось ключ Симметричного алгоритма ) ...если под открытым ключом Вы называете public key ,то конечно ничего страшного не случится... В этом его смысл публичности...Но ведь это ещё совсем не технология получения симметричного ключа. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 10:57 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев Коллеги, мне надо при построении клиентской сессии передать симметричный код шифрования аппсерверу. Какие "подводные камни" на моем пути, если аппсервер будет периодически выкладывать открытый ключ асимметричного алгоритма на FTP сервер? Если вы передачу не защитите, то "подводный камень" это дыра в безопасности. Конечно это хорошо, что хоть что-то в безопасности :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 12:22 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>irbis_al, сегодня, 10:57 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22057055][22057055] >Ну вот как вообще такая мысль может прийти в голову...передавать симметричный ключ...в незашифрованном виде.? <Вы не правильно мыслите. Для передачи симметричного ключа сессии используется схема асимметричного шифрования. Но асимметричная ключевая пара не константа, её также надо менять и открытый ключ как-то надо передавать клиенту. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 12:29 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>hVostt, сегодня, 12:22 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22057083][22057083] >Если вы передачу не защитите… <Извините, не понял - но зачем? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 12:34 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев Коллеги, мне надо при построении клиентской сессии передать симметричный код шифрования аппсерверу. Какие "подводные камни" на моем пути, если аппсервер будет периодически выкладывать открытый ключ асимметричного алгоритма на FTP сервер? Если симметричный ключ существует в рамках клиентского сеанса, то ничего страшного. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 13:16 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>iehf, сегодня, 13:16 сессия с шифрованием ][22057102] >Если симметричный ключ существует в рамках клиентского сеанса, то ничего страшного. <Страшно то, что трафик между клиентом(а) и FTP сервером(б) уходит за бугор. В этом случае видимо возможно разыграть вариант "третьего по середине". С другой стороны возможность взлома ключевой пары не нулевая. Её нужно менять. Вариант а-ля "флешка, ноги, пиво" не всегда удобен. Вариант с использованием цифровой подписи требует порождения ещё одной ключевой пары и те же проблемы передачи ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 14:31 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев Но асимметричная ключевая пара не константа, её также надо менять и открытый ключ как-то надо передавать клиенту. Вы не поверите, но она таки константа и ключ передаётся по каналам, отличным от канала передачи данных. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 14:32 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>Dimitry Sibiryakov, сегодня, 14:32 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22057152][22057152] >Вы не поверите, но она таки константа и ключ передаётся по каналам, отличным от канала передачи данных. < 1. Не поверю 2. с вариантом отличных каналов согласен, но к реализации душа не лежит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.01.2020, 16:15 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев Коллеги, мне надо при построении клиентской сессии передать симметричный код шифрования аппсерверу. Какие "подводные камни" на моем пути, если аппсервер будет периодически выкладывать открытый ключ асимметричного алгоритма на FTP сервер? а в чем проблема? генерируете симметричный код, шифруете открытым ключом app сервера и передаете ему (хоть в незащищенном канале) получив ответ, что запрос принят, можете начинать передавать в app сервер уже шифрованные симметрией данные, и обрабатывать его запросы ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.01.2020, 22:56 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>Arm79, сегодня, 22:56 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22057609][22057609] >...шифруете открытым ключом app сервера… <Вопрос почему клиент уверен, что его открытый ключ есть ключ app сервера? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 00:04 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев почему клиент уверен, что его открытый ключ есть ключ app сервера? С помощью подписи доверенным сертификатом. Если без этого, то почитайте про устройство SSH, все вопросы отпадут. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 01:09 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>hVostt, сегодня, 01:09 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22057626][22057626] >С помощью подписи доверенным сертификатом. <Вы правы. Да, цифровая подпись. Но вопрос доставки открытого ключа цифровой подписи от центра к клиенту остаётся. Радует то, что время работоспособности ключей цифровой подписи существенно больше, чем время отпущенное ключам асимметричного шифрования. Вопрос, а где хранить ключ цифровой подписи? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 03:09 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев, >> Но вопрос доставки открытого ключа цифровой подписи от центра к клиенту остаётся Не остаётся, вам же уже сказали про проверку целостности и надёжности открытого ключа подписью доверенного центра. >> а где хранить ключ цифровой подписи? Там где надёжно. Например, аппаратный токен. Или хранилище сертификатов. Если вас сильно беспокоит безопасность, используйте вводимый пользователем пароль для доступа к ключевой паре. Хотите, чтобы из памяти программы не считали ваш пароль, есть securestring ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 06:56 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>Arm79, сегодня, 06:56 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22057654][22057654] >Не остаётся, вам же уже сказали про проверку целостности и надёжности открытого ключа подписью доверенного центра. < Но подпись не более чем, другой открытый ключ и по идее на него также нужна своя подпись и т.д. Всё заканчивается стандартной схемой - "ноги, флешка" или использованием другого канал обмена и кучей потерянного времени. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 11:53 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев, Затраты на комплекс мероприятий по защите должны соответствовать потерям (финансовым, репутационным) при компроментации данных. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 14:03 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев почему клиент уверен, что его открытый ключ есть ключ app сервера? Неужели потому, что он его получил от апп сервера?.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 14:49 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>hVostt, сегодня, 14:03 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22057971][22057971] >Затраты на комплекс мероприятий по защите должны соответствовать потерям… < Вы правы. Только, - красиво же получается с передачей открытого ключа асимметричного шифрования, - в центре генеришь пару, вытаскиваешь открытый, подписываешь его и выкладываешь на FTP сервер. При построении сессии клиент забирает текущий ключ с FTP. Ни тебе лишних бумажек, ни ожидания. Захотел, генерируй хоть каждый день, но подобная схема не работает для передачи ключа цифровой подписи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 15:43 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>Dimitry Sibiryakov, сегодня, 14:49 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22058012][22058012] >Неужели потому, что он его получил от апп сервера?.. < Покажите на пальцах схему получения. Имейте ввиду, что сетевые пакеты клиента можно перенаправить и разыграть третьего по середине. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 15:51 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев Но подпись не более чем, другой открытый ключ и по идее на него также нужна своя подпись и т.д. Подпись - это результат исполнения хэширующей функции над данными (свёртка) Каждый сертификат безусловно должен иметь подпись. Получается цепочка. Которая завершается корневым центром сертификации. Чтобы все это подделать, злоумышленник должен получать полный доступ к вашему компьютеру. А если он есть - глубоко пофигу на компрометации ключа Таким образом, открытый ключ АПП сервера подписываете в любом доверенном центре сертификации, ставите себе на комп сертификат этого центра и получаете гарантию того, что ключ АПП сервера не был изменён. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 16:06 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
ВМоисеев Вы правы. Только, - красиво же получается с передачей открытого ключа асимметричного шифрования, - в центре генеришь пару, вытаскиваешь открытый, подписываешь его и выкладываешь на FTP сервер. При построении сессии клиент забирает текущий ключ с FTP. Ни тебе лишних бумажек, ни ожидания. Захотел, генерируй хоть каждый день, но подобная схема не работает для передачи ключа цифровой подписи. Почитайте про SSH. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 16:19 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>Arm79, сегодня, 16:06 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22058075][22058075] >Подпись - это результат исполнения хэширующей функции над данными (свёртка) < Ой ли. Цифровая подпись нечто иное: Код: c# 1. 2. 3. 4. 5. 6. 7. 8. 9. где: byte[] xbt - открытый ключ (Exponent+Modulus) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 17:18 |
|
||
|
сессия с шифрованием
|
|||
|---|---|---|---|
|
#18+
>hVostt, сегодня, 16:19 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321100&msg=22058085][22058085] >Почитайте про SSH < Читаю. . . . Согласование шифрования сессии Когда клиент инициирует TCP-соединение, сервер отвечает . . . . . . Какой сервер то отвечает, твой или подстава? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2020, 17:28 |
|
||
|
|
start [/forum/topic.php?fid=33&msg=39913283&tid=1547126]: |
0ms |
get settings: |
9ms |
get forum list: |
12ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
54ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
55ms |
get tp. blocked users: |
1ms |
| others: | 13ms |
| total: | 162ms |
| 0 / 0 |
