powered by simpleCommunicator - 2.0.36     © 2025 Programmizd 02
Форумы / Delphi [игнор отключен] [закрыт для гостей] / Криптование потока
12 сообщений из 12, страница 1 из 1
Криптование потока
    #40098857
Janex
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Привет всем.
Есть TIdClient и TIdServer.
Нужно шифровать поток между ними.
Шас сделал так, что через асиметрические криптование передаю сгенерированыи AES ключ,
и дальше уже с ним и всё вроде как работает.

Но что то захотелось использовать OpenSSL и встроеные в Indy дело с етим, без всяких проверох сертификата,
только просто шифрование и всё.

С етим дело шас возникли вопросы:
1. Мне ведь должно хвататить сгенерить сертификат сего на стороне TIdServer, или
у киента тож должен бить етот сетификат? У TIdClient вижу что тож можно прикрутить OpenSSL,
но шас непонятно зачем.

2. Если шас своё творение распростроняю дригим людям, то по идее каждыи должен сгенерировать свои
сертификат чтоб приватные ключи били разные, или не так всё работает?

3. TIdClient и TIdServer черз OpenSSL ведь тоже через асиметрическое криптование передаст сего симетричныи
ключ и дальше уже с ним поидёт криптование, типо как по HTTPS

WBR
Janex
...
Рейтинг: 0 / 0
Криптование потока
    #40098868
DmSer
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Janex


Но что то захотелось использовать OpenSSL и встроеные в Indy дело с етим, без всяких проверох сертификата,
только просто шифрование и всё.


OpenSSL без проверки сертификата не даёт защиты. Даёт лишь иллюзию защиты. Любой прокси может тебе подсунуть свой сертификат и видеть все передаваемые данные.

У Indy (TIdClient и TIdServer) с OpenSSL - очень сложно. Куча граблей, примеров почти нет, куча ручной работы чтобы подготовить файлы ключей. В этом плане Overbyte ICS гораздо более продвинутая библиотека, в комплекте куча примеров, имеется автоматическое обновление сертификатов.
...
Рейтинг: 0 / 0
Криптование потока
    #40098891
Fr0sT-Brutal
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
DmSer
OpenSSL без проверки сертификата не даёт защиты. Даёт лишь иллюзию защиты. Любой прокси может тебе подсунуть свой сертификат и видеть все передаваемые данные.

Скажем так, защита от read-only доступа, а не от MITM.

Сертификат нужен для сервера, можно сгенерить свой. В самом простом случае клиентам даже не нужно будет его ставить в систему или как-то добавлять. Тогда будет просто шифрованный канал без устойчивости к перехвату.

Насчет граблей в инди ничего не знаю, но это странно. Либа широко используется, т.ч. хоть как-то, но должно работать. Но вот с обновлением там плоховато, реквест на новый OpenSSL висит годами - TLS1.3 подвезут неизвестно когда.
...
Рейтинг: 0 / 0
Криптование потока
    #40098896
DmSer
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Fr0sT-Brutal

Насчет граблей в инди ничего не знаю, но это странно. Либа широко используется, т.ч. хоть как-то, но должно работать. Но вот с обновлением там плоховато, реквест на новый OpenSSL висит годами - TLS1.3 подвезут неизвестно когда.


Оно работает (до TLS 1.2), мы используем данную возможность. Было жутко плохо с примерами. Магический параметр PassThrough по умолчанию включен (не знаю, зачем так сделали, это скорее для прокси требуется). Слово "Pass" в PassThrough подло "подсказывает", что выполняется какая-то обработка паролей, поэтому кучу времени потратил на ковырятельство с паролями сертификата :)

TLS1.3 судя по всему можно уже не ждать. Автор не в состоянии исправить элементарный баг, который приводит к Exception при проверке свойства Connected.
...
Рейтинг: 0 / 0
Криптование потока
    #40098902
энди
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
а ssl pinning в какие-нибудь компоненты завезли?
...
Рейтинг: 0 / 0
Криптование потока
    #40098921
Fr0sT-Brutal
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
DmSer
Слово "Pass" в PassThrough подло "подсказывает", что выполняется какая-то обработка паролей, поэтому кучу времени потратил на ковырятельство с паролями сертификата :)

:D это в тему "Как я лажанулся" )))
...
Рейтинг: 0 / 0
Криптование потока
    #40098950
Vizit0r
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Fr0sT-Brutal
DmSer
OpenSSL без проверки сертификата не даёт защиты. Даёт лишь иллюзию защиты. Любой прокси может тебе подсунуть свой сертификат и видеть все передаваемые данные.

Скажем так, защита от read-only доступа, а не от MITM.

Сертификат нужен для сервера, можно сгенерить свой. В самом простом случае клиентам даже не нужно будет его ставить в систему или как-то добавлять. Тогда будет просто шифрованный канал без устойчивости к перехвату.

Насчет граблей в инди ничего не знаю, но это странно. Либа широко используется, т.ч. хоть как-то, но должно работать. Но вот с обновлением там плоховато, реквест на новый OpenSSL висит годами - TLS1.3 подвезут неизвестно когда.


вообще в отдельной ветке TLS 1.3 уже лежит, вроде рабочий, сегодня как раз хочу затестить.
А в общей ветке инди почему-то лежит только файл под FP, под дельфы не взлетит аж никак.

P.S. В общей - это в той, что в репе, а не в той, что в Delphi 11 включено. Почему так, и из каких сорцов они собирают версию для дельфей - то тайна великая есть.

P.P.S. Потом отпишусь с результатами.
...
Рейтинг: 0 / 0
Криптование потока
    #40098990
Fr0sT-Brutal
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Vizit0r
вообще в отдельной ветке TLS 1.3 уже лежит, вроде рабочий, сегодня как раз хочу затестить.
А в общей ветке инди почему-то лежит только файл под FP, под дельфы не взлетит аж никак.

P.S. В общей - это в той, что в репе, а не в той, что в Delphi 11 включено. Почему так, и из каких сорцов они собирают версию для дельфей - то тайна великая есть.

P.P.S. Потом отпишусь с результатами.

Да у меня такое ощущение, что Реми забил. Поддерживает постольку-поскольку. Но OpenSSL-евцы тоже красавцы: про обратную совместимость интерфейсов, похоже, вообще не слышали. Каждый минорный релиз что-то надо перепиливать.
...
Рейтинг: 0 / 0
Криптование потока
    #40099003
Мимопроходящий
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Fr0sT-Brutal
OpenSSL-евцы тоже красавцы: про обратную совместимость интерфейсов, похоже, вообще не слышали. Каждый минорный релиз что-то надо перепиливать.
и ладно бы пилили проект только для себя, "чисто поржать", но ведь делают же для опчества!
лютый пинзец...
яркий пример отсутствия в команде архитектора.
...
Рейтинг: 0 / 0
Криптование потока
    #40099066
Vizit0r
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Fr0sT-Brutal

Да у меня такое ощущение, что Реми забил. Поддерживает постольку-поскольку.


ну он занимается тем, чем ему интересно. А про TLS 1.3 он еще давным-давно на SO писал, что вообще неинтересно, от слова "совсем". В итоге, как я понял, впилил его кто-то из коммюнити.
...
Рейтинг: 0 / 0
Криптование потока
    #40099098
Fr0sT-Brutal
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Мимопроходящий
и ладно бы пилили проект только для себя, "чисто поржать", но ведь делают же для опчества!
лютый пинзец...
яркий пример отсутствия в команде архитектора.

Вот и допрыгаются. Эпл уже свой вариант запилил, Гугл тоже, емнип.
...
Рейтинг: 0 / 0
Криптование потока
    #40099717
Vizit0r
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Vizit0r
P.P.S. Потом отпишусь с результатами.


Последний libressl.
В чистом виде обертка под инди не завелась ни с 1.3, ни с 1.2.
При этом openssl.exe подключается к сайтам по обоим tls нормально.

Предварительно (по анализам пакетов) - не похватываются сертификаты (через openssl.exe - подхватываются). Буду копать дальше, почему так.
...
Рейтинг: 0 / 0
12 сообщений из 12, страница 1 из 1
Форумы / Delphi [игнор отключен] [закрыт для гостей] / Криптование потока
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]