Регистрация Войти
Рейтинг:2
Red Sun avatar Crypto

Сочетание ECC и AES для системы веб-чата

флаг us
Red Sun

Я работаю над портативным безопасным чатом для настольных компьютеров или мобильных устройств, в котором используется OTP плюс асимметричное шифрование. Идея звучит так:

Предположим, что Алиса и Боб являются клиентами, а сервером управляет Стив.Стив генерирует пару закрытый/открытый ключ сервера, в то время как Алиса и Боб генерируют свои пары ключей клиента. Для каждого сообщения клиент генерирует случайный ключ AES для шифрования этого конкретного сообщения, которое затем шифруется с помощью открытого ключа сервера. Клиент также подписывает сообщение своим закрытым ключом. Сервер расшифровывает такое сообщение, шифрует его открытым ключом каждого онлайн-клиента и передает его им.

Есть ли проблема с загрузкой процессора на сервере или клиенте, или проблема с нарушениями безопасности, происходящими при передаче сообщений, или эта идея просто бесполезна и ее нужно отбросить? Пара ключей ECC будет состоять из 521 бит, а ключ AES — из 256 бит.

91
2 + 5
Eugene Styer avatar
флаг dz
Eugene Styer
Есть ли какая-то конкретная причина не использовать TLS (который делает то же самое)?
2
Ответить
Red Sun avatar
флаг us
Red Sun
@EugeneStyer Я хочу, чтобы это приложение чата работало на порту, отличном от 443 или 8080, поэтому TLS может быть непригодным для использования.
0
Ответить
Eugene Styer avatar
флаг dz
Eugene Styer
Порт 443 используется для HTTPS (который использует TLS), но сам TLS не ограничивается этими портами. Вы можете указать номер порта, который будет использоваться при создании сокета TLS/SSL.
2
Ответить
Paul Uszak avatar
флаг cn
Paul Uszak
Какую пользу вы собирались извлечь из одноразовых паролей?
0
Ответить
Red Sun avatar
флаг us
Red Sun
@PaulUszak Я собираюсь зашифровать каждое сообщение другим случайным ключом AES. Вот что я имею в виду под ОТП.
0
Ответить
Рейтинг:1
Paul Uszak avatar Crypto
флаг cn
Paul Uszak

Я ссылаюсь на ваш собственный ответ.

использование TLS достаточно хорошо

Есть ли проблема с ...snip... нарушениями безопасности, происходящими во время передачи сообщения,

Ну да, есть проблема. Вы поняли смысл загадочного комментария @forest? Е2Е = концы с концами. а ля Сигнал.

При использовании TLS обмен сообщениями между клиентом и сервером будет зашифрован, но при прохождении через сервер сообщения будут представлять собой открытый текст. Это означает, что любой, у кого есть физический или юридический доступ к серверу, сможет прочитать все сообщения. И инициировать Человек посередине атаки. Читайте обо всех неприятности с телефонами Blackberry.

Все дело в том, чего вы хотите достичь, и некоторые из них могут быть неприятными.

0 + 0
Рейтинг:0
Red Sun avatar Crypto
флаг us
Red Sun

Итак, я нашел ответ.В ответе, представленном в комментарии Юджина Стайера, говорится, что достаточно просто использовать TLS, поскольку TLS не ограничивается конкретным портом.

0 + 2
forest avatar
флаг vn
forest
Ну уж точно не E2E...
0
Ответить
Ben Voigt avatar
флаг cn
Ben Voigt
@forest: вопрос также не описывает сквозную систему.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.