Security 我的自定义加密握手安全吗?
我为一家购物中心制作了一些广告软件,它有一组客户端(屏幕)和一个服务器,它们从中获取内容。到目前为止,它是在一个单独的局域网内工作的,所以我甚至没有想到安全问题,但他们问我是否可以通过互联网进行管理 我试着想出一个合理的解决方案,比如a计划Security 我的自定义加密握手安全吗?,security,networking,encryption,cryptography,Security,Networking,Encryption,Cryptography,我为一家购物中心制作了一些广告软件,它有一组客户端(屏幕)和一个服务器,它们从中获取内容。到目前为止,它是在一个单独的局域网内工作的,所以我甚至没有想到安全问题,但他们问我是否可以通过互联网进行管理 我试着想出一个合理的解决方案,比如a计划 客户端发送“我想登录消息” 服务器使用随机生成的密钥进行响应 客户端发送用所述密钥加密的密码 服务器用另一个密钥响应,并用第一个密钥加密 客户端现在可以使用最后一个密钥加密/解密任何进一步的通信 但后来我想,再发一把钥匙有什么意义?如果观察流量的人能够找出我
现在我不知道该怎么办。如果我可以获得与你的普通登录类型网站(比如这一个)相同的安全级别,那我就可以了。他们是如何处理用户+密码的问题的?您在这方面花了这么多心思,真是令人钦佩。现在就停下来,使用SSL/TLS。传输级安全性将手动保护通信通道的需要抽象化。尝试使用自己的密钥交换是一个坏主意(tm),可能会导致漏洞。值得钦佩的是,您在这方面花了这么多心思。现在就停下来,使用SSL/TLS。传输级安全性将手动保护通信通道的需要抽象化。尝试使用自己的密钥交换是一个坏主意(tm),可能会导致漏洞。您听说过吗?你有没有考虑过非对称加密,例如, < P >你听说过吗?你是否考虑过不对称加密,例如,如果服务器是一个流氓间谍,你刚刚放弃了你的[明文]密码。此外,“[新]另一个密钥”是不安全的,因为任何监视器也可以看到它被加密的“原始密钥”。安全是很难做到的。使用现有的经验证的方法。在本例中,搜索。正如您所了解的,密码学与密钥有关。关于这个主题的更多信息:好吧,我从这两个方面得到的是,没有最终的答案,基于当前的技术,可能永远不会有答案:/Thank。为什么不使用SSL/TLS和密码呢?客户端需要知道服务器的公钥和密码,一旦建立连接,就可以安全地发送密码。“合理的解决方案”已经存在。它被称为SSL。使用它。不要试着自己滚。您不会成功地使它比SSL更好,或者在实践中几乎与SSL一样好。因此,尝试是没有意义的。到目前为止,您所做的还不安全。如果服务器是一个流氓间谍,那么您只需给出您的[明文]密码。此外,“[新]另一个密钥”是不安全的,因为任何监视器也可以看到它被加密的“原始密钥”。安全是很难做到的。使用现有的经验证的方法。在本例中,搜索。正如您所了解的,密码学与密钥有关。关于这个主题的更多信息:好吧,我从这两个方面得到的是,没有最终的答案,基于当前的技术,可能永远不会有答案:/Thank。为什么不使用SSL/TLS和密码呢?客户端需要知道服务器的公钥和密码,一旦建立连接,就可以安全地发送密码。“合理的解决方案”已经存在。它被称为SSL。使用它。不要试着自己滚。您不会成功地使它比SSL更好,或者在实践中几乎与SSL一样好。因此,尝试是没有意义的。到目前为止,你所做的还不安全。