如果使用 SSL 的一种方式(服务器证书身份验证),则从客户端发送的数据将使用服务器证书的公钥进行加密。因此客户端发送的数据可以得到隐私保护。我的问题是
这是否意味着从服务器发送到客户端的一种方式 SSL 数据未加密并以纯文本形式发送?
对于服务器到客户端和客户端到服务器的通信,数据/消息都没有签名,因此无法保证篡改保护或数据完整性。在使用基于 SSL 的传输安全而不是消息安全选项时,是否有其他方法可以实现数据完整性?
SSL 的一种方式仅意味着服务器不验证客户端的身份。它对 SSL 的任何其他安全属性没有影响。
虽然 SSL 协议有点复杂,但其基本要点是:客户端生成随机密钥,对其进行加密,以便只有服务器可以解密,然后将其发送到服务器。服务器和客户端现在拥有一个共享秘密,可用于加密和验证双向通信。
服务器不知道客户端的身份,但除此之外,加密和消息验证是两种方式。
Update:
1) 是的,两种加密方式都是对称的,并且使用在会话设置期间生成的共享密钥。
2) 对于共享秘密,保证消息完整性是微不足道的。您只需确保消息具有特定的形式即可。例如,我可以为发送的每条消息添加序列号作为前缀,并在加密之前在其上附加校验和。您使用共享密钥对其进行解密并验证序列号和校验和。攻击者如何在不知道共享秘密的情况下替换或修改消息并仍然保持序列号和校验和完好无损?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)