我目前正在开发一个在客户端和服务器之间传输数据的系统,并且想知道我计划使用的加密强度是多少。
我的想法是拥有一个私钥/公钥 RSA 密钥对,并将公钥分发给每个客户端(将私钥仅保留在服务器上)。然后,每个客户端将生成自己的 AES 密钥并使用 RSA 对其进行加密。然后,他们会对数据进行 AES 加密,并将加密数据和加密 AES 密钥发送到服务器。然后,服务器将使用私钥解密 AES 密钥,然后使用 AES 密钥解密数据。
我是否遗漏了任何安全缺陷和/或是否有更好的方法来做到这一点?
这几乎就是这样SSL/TLS http://en.wikipedia.org/wiki/Transport_Layer_Security有效(查看握手部分)。唯一让它变得更强大的是为每个连接生成 AES 密钥,而不是每次都使用相同的密钥。您可能还想对来回的消息进行数字签名,以避免中间人和其他欺骗攻击。
一般来说,创建一个好的密码系统是非常困难的。如果可能,您应该始终选择现有的(受信任的)应用程序来提供帮助。在这种情况下,您可以考虑使用 HTTPS 发送消息,而不是创建自己的系统。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)