Безопасно ли использовать RSA для обмена ключами AES?

Мне нужно создать клиент-серверное приложение с использованием Java, и я хочу обеспечить безопасность связи. Я подумал использовать AES для шифрования сообщений, а для обмена ключами я делаю следующие шаги:

• Клиент генерирует ключи RSA и отправляет открытый ключ на сервер
• Сервер зашифрует ключ AES с помощью открытого ключа RSA (ключ AES генерируется случайным образом для каждого клиента).
• Клиент расшифровывает сообщение своим закрытым ключом RSA, после чего все сообщения будут зашифрованы с помощью AES.

Мой вопрос: это хорошая практика?

Нет, это не очень хорошая практика.

1. Он склонен к человек посередине атака. Когда сервер получает открытый ключ, он не знает, исходит ли этот ключ от клиента или от «человека посередине». Таким образом, «человек посередине» может перехватывать трафик между клиентом и сервером, для клиента он может имитировать сервер, для сервера может имитировать клиента. Таким образом, вся коммуникация будет 1) известна MitM и 2) данные, отправленные в обоих направлениях, могут быть изменены MitM.

• --> Этого можно избежать, если вы аутентифицируете клиентов на сервере или аутентифицируете сервер на клиентах с помощью сертификаты открытых ключей.

2. Он склонен к повторить атаку. Предположим, клиент отправляет команду «перевести 1000 долларов США на счет 123456789». Это может быть законной операцией. Но если злоумышленник перехватит трафик и перешлет его в течение относительно короткого времени (так что сервер все еще использует тот же ключ для шифрования AES для этого клиента), то сервер не сможет отличить, идет ли этот трафик от клиента или от атакующий и выполнит команду.Даже если вы аутентифицируете клиентов на сервере или сервер на клиентах, эта проблема все равно будет сохраняться.

• --> Вы можете избежать этого, если используете одноразовый номер.

3. Хорошая вещь: ваш текущий подход относительно хорош. прямая секретность: прошлые сеансы защищены от компрометации клиентских ключей или паролей сеансов в будущем. Но если вы решите проблему 1, упомянутую выше (аутентификация), и начнете использовать один и тот же ключ RSA в нескольких сеансах, вы потеряете секретность пересылки. Если злоумышленник получит закрытый ключ, все прошлые сеансы могут быть расшифрованы. Чтобы предотвратить это, вам потребуются дополнительные меры, например. эфемерный Обмен ключами Диффи-Хеллмана.

4. Независимо от всех вышеперечисленных проблем, важно правильно использовать RSA, как упоминал @kelalaka. Смотрите подробности здесь и здесь.

Таким образом, может быть гораздо безопаснее использовать реализацию TLS, предоставляемую Java, вместо реализации собственного протокола.