|
|
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Привет всем. Есть TIdClient и TIdServer. Нужно шифровать поток между ними. Шас сделал так, что через асиметрические криптование передаю сгенерированыи AES ключ, и дальше уже с ним и всё вроде как работает. Но что то захотелось использовать OpenSSL и встроеные в Indy дело с етим, без всяких проверох сертификата, только просто шифрование и всё. С етим дело шас возникли вопросы: 1. Мне ведь должно хвататить сгенерить сертификат сего на стороне TIdServer, или у киента тож должен бить етот сетификат? У TIdClient вижу что тож можно прикрутить OpenSSL, но шас непонятно зачем. 2. Если шас своё творение распростроняю дригим людям, то по идее каждыи должен сгенерировать свои сертификат чтоб приватные ключи били разные, или не так всё работает? 3. TIdClient и TIdServer черз OpenSSL ведь тоже через асиметрическое криптование передаст сего симетричныи ключ и дальше уже с ним поидёт криптование, типо как по HTTPS WBR Janex ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 07:40 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Janex Но что то захотелось использовать OpenSSL и встроеные в Indy дело с етим, без всяких проверох сертификата, только просто шифрование и всё. OpenSSL без проверки сертификата не даёт защиты. Даёт лишь иллюзию защиты. Любой прокси может тебе подсунуть свой сертификат и видеть все передаваемые данные. У Indy (TIdClient и TIdServer) с OpenSSL - очень сложно. Куча граблей, примеров почти нет, куча ручной работы чтобы подготовить файлы ключей. В этом плане Overbyte ICS гораздо более продвинутая библиотека, в комплекте куча примеров, имеется автоматическое обновление сертификатов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 08:38 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
DmSer OpenSSL без проверки сертификата не даёт защиты. Даёт лишь иллюзию защиты. Любой прокси может тебе подсунуть свой сертификат и видеть все передаваемые данные. Скажем так, защита от read-only доступа, а не от MITM. Сертификат нужен для сервера, можно сгенерить свой. В самом простом случае клиентам даже не нужно будет его ставить в систему или как-то добавлять. Тогда будет просто шифрованный канал без устойчивости к перехвату. Насчет граблей в инди ничего не знаю, но это странно. Либа широко используется, т.ч. хоть как-то, но должно работать. Но вот с обновлением там плоховато, реквест на новый OpenSSL висит годами - TLS1.3 подвезут неизвестно когда. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 10:23 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Fr0sT-Brutal Насчет граблей в инди ничего не знаю, но это странно. Либа широко используется, т.ч. хоть как-то, но должно работать. Но вот с обновлением там плоховато, реквест на новый OpenSSL висит годами - TLS1.3 подвезут неизвестно когда. Оно работает (до TLS 1.2), мы используем данную возможность. Было жутко плохо с примерами. Магический параметр PassThrough по умолчанию включен (не знаю, зачем так сделали, это скорее для прокси требуется). Слово "Pass" в PassThrough подло "подсказывает", что выполняется какая-то обработка паролей, поэтому кучу времени потратил на ковырятельство с паролями сертификата :) TLS1.3 судя по всему можно уже не ждать. Автор не в состоянии исправить элементарный баг, который приводит к Exception при проверке свойства Connected. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 10:34 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
а ssl pinning в какие-нибудь компоненты завезли? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 10:47 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
DmSer Слово "Pass" в PassThrough подло "подсказывает", что выполняется какая-то обработка паролей, поэтому кучу времени потратил на ковырятельство с паролями сертификата :) :D это в тему "Как я лажанулся" ))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 11:46 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Fr0sT-Brutal DmSer OpenSSL без проверки сертификата не даёт защиты. Даёт лишь иллюзию защиты. Любой прокси может тебе подсунуть свой сертификат и видеть все передаваемые данные. Скажем так, защита от read-only доступа, а не от MITM. Сертификат нужен для сервера, можно сгенерить свой. В самом простом случае клиентам даже не нужно будет его ставить в систему или как-то добавлять. Тогда будет просто шифрованный канал без устойчивости к перехвату. Насчет граблей в инди ничего не знаю, но это странно. Либа широко используется, т.ч. хоть как-то, но должно работать. Но вот с обновлением там плоховато, реквест на новый OpenSSL висит годами - TLS1.3 подвезут неизвестно когда. вообще в отдельной ветке TLS 1.3 уже лежит, вроде рабочий, сегодня как раз хочу затестить. А в общей ветке инди почему-то лежит только файл под FP, под дельфы не взлетит аж никак. P.S. В общей - это в той, что в репе, а не в той, что в Delphi 11 включено. Почему так, и из каких сорцов они собирают версию для дельфей - то тайна великая есть. P.P.S. Потом отпишусь с результатами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 12:38 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Vizit0r вообще в отдельной ветке TLS 1.3 уже лежит, вроде рабочий, сегодня как раз хочу затестить. А в общей ветке инди почему-то лежит только файл под FP, под дельфы не взлетит аж никак. P.S. В общей - это в той, что в репе, а не в той, что в Delphi 11 включено. Почему так, и из каких сорцов они собирают версию для дельфей - то тайна великая есть. P.P.S. Потом отпишусь с результатами. Да у меня такое ощущение, что Реми забил. Поддерживает постольку-поскольку. Но OpenSSL-евцы тоже красавцы: про обратную совместимость интерфейсов, похоже, вообще не слышали. Каждый минорный релиз что-то надо перепиливать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 14:22 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Fr0sT-Brutal OpenSSL-евцы тоже красавцы: про обратную совместимость интерфейсов, похоже, вообще не слышали. Каждый минорный релиз что-то надо перепиливать. лютый пинзец... яркий пример отсутствия в команде архитектора. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 14:44 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Fr0sT-Brutal Да у меня такое ощущение, что Реми забил. Поддерживает постольку-поскольку. ну он занимается тем, чем ему интересно. А про TLS 1.3 он еще давным-давно на SO писал, что вообще неинтересно, от слова "совсем". В итоге, как я понял, впилил его кто-то из коммюнити. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 16:25 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Мимопроходящий и ладно бы пилили проект только для себя, "чисто поржать", но ведь делают же для опчества! лютый пинзец... яркий пример отсутствия в команде архитектора. Вот и допрыгаются. Эпл уже свой вариант запилил, Гугл тоже, емнип. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2021, 17:02 |
|
||
|
Криптование потока
|
|||
|---|---|---|---|
|
#18+
Vizit0r P.P.S. Потом отпишусь с результатами. Последний libressl. В чистом виде обертка под инди не завелась ни с 1.3, ни с 1.2. При этом openssl.exe подключается к сайтам по обоим tls нормально. Предварительно (по анализам пакетов) - не похватываются сертификаты (через openssl.exe - подхватываются). Буду копать дальше, почему так. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.09.2021, 12:03 |
|
||
|
|
start [/forum/topic.php?fid=58&msg=40098857&tid=2037007]: |
0ms |
get settings: |
11ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
39ms |
get topic data: |
9ms |
get forum data: |
3ms |
get page messages: |
50ms |
get tp. blocked users: |
1ms |
| others: | 282ms |
| total: | 417ms |
| 0 / 0 |
