Рейтинг:2

Сочетание ECC и AES для системы веб-чата

флаг us

Я работаю над портативным безопасным чатом для настольных компьютеров или мобильных устройств, в котором используется OTP плюс асимметричное шифрование. Идея звучит так:

Предположим, что Алиса и Боб являются клиентами, а сервером управляет Стив.Стив генерирует пару закрытый/открытый ключ сервера, в то время как Алиса и Боб генерируют свои пары ключей клиента. Для каждого сообщения клиент генерирует случайный ключ AES для шифрования этого конкретного сообщения, которое затем шифруется с помощью открытого ключа сервера. Клиент также подписывает сообщение своим закрытым ключом. Сервер расшифровывает такое сообщение, шифрует его открытым ключом каждого онлайн-клиента и передает его им.

Есть ли проблема с загрузкой процессора на сервере или клиенте, или проблема с нарушениями безопасности, происходящими при передаче сообщений, или эта идея просто бесполезна и ее нужно отбросить? Пара ключей ECC будет состоять из 521 бит, а ключ AES — из 256 бит.

Eugene Styer avatar
флаг dz
Есть ли какая-то конкретная причина не использовать TLS (который делает то же самое)?
Red Sun avatar
флаг us
@EugeneStyer Я хочу, чтобы это приложение чата работало на порту, отличном от 443 или 8080, поэтому TLS может быть непригодным для использования.
Eugene Styer avatar
флаг dz
Порт 443 используется для HTTPS (который использует TLS), но сам TLS не ограничивается этими портами. Вы можете указать номер порта, который будет использоваться при создании сокета TLS/SSL.
Paul Uszak avatar
флаг cn
Какую пользу вы собирались извлечь из одноразовых паролей?
Red Sun avatar
флаг us
@PaulUszak Я собираюсь зашифровать каждое сообщение другим случайным ключом AES. Вот что я имею в виду под ОТП.
Рейтинг:1
флаг cn

Я ссылаюсь на ваш собственный ответ.

использование TLS достаточно хорошо

Есть ли проблема с ...snip... нарушениями безопасности, происходящими во время передачи сообщения,

Ну да, есть проблема. Вы поняли смысл загадочного комментария @forest? Е2Е = концы с концами. а ля Сигнал.

При использовании TLS обмен сообщениями между клиентом и сервером будет зашифрован, но при прохождении через сервер сообщения будут представлять собой открытый текст. Это означает, что любой, у кого есть физический или юридический доступ к серверу, сможет прочитать все сообщения. И инициировать Человек посередине атаки. Читайте обо всех неприятности с телефонами Blackberry.

Все дело в том, чего вы хотите достичь, и некоторые из них могут быть неприятными.

Рейтинг:0
флаг us

Итак, я нашел ответ.В ответе, представленном в комментарии Юджина Стайера, говорится, что достаточно просто использовать TLS, поскольку TLS не ограничивается конкретным портом.

forest avatar
флаг vn
Ну уж точно не E2E...
Ben Voigt avatar
флаг cn
@forest: вопрос также не описывает сквозную систему.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.