Score:0

การรับรองความถูกต้องระหว่างสองเซิร์ฟเวอร์โดยใช้ PKA

ธง cn

ฉันพบปัญหาเล็กน้อยเกี่ยวกับการรับรองความถูกต้องระหว่าง 2 บริการ (การสื่อสารทางเดียว) โดยใช้การตรวจสอบสิทธิ์คีย์สาธารณะและคีย์ส่วนตัว (Elliptic Curve, secp256k1)

บริการจะสื่อสารผ่าน API REST ผ่าน HTTPS และการดำเนินการที่เสนอคือการให้ไคลเอ็นต์ลงนามบางอย่างด้วยคีย์ส่วนตัว ส่งลายเซ็นพร้อมกับข้อมูลที่เหลือในส่วนหัวการรับรองความถูกต้อง และเซิร์ฟเวอร์ตรวจสอบลายเซ็นนั้น ด้วยรหัสสาธารณะ

ฉันมีไลบรารีสำหรับเซ็นชื่อและตรวจสอบจริง ดังนั้นส่วนการเข้ารหัสจริงของมันจึงใช้ได้ และฉันรู้ว่ามันเป็นวิธีที่ซับซ้อนกว่าทางเลือกอื่นๆ (เช่น คีย์ API เป็นต้น) แต่ก็ไม่ได้รบกวนฉัน ตราบใดที่แนวคิดนั้นไม่มีข้อบกพร่อง และอย่างน้อยก็ปลอดภัยพอๆ กับทางเลือกอื่น (อาจจะง่ายกว่า)

นี่เป็นความคิดที่ดีหรือไม่? ถ้าไม่ ทำไม? ถ้าใช่ ฉันต้องเซ็นชื่ออะไรกันแน่? เป็น อะไรก็ตาม ดี (พูดวันนี้ปัจจุบัน)? มีปัญหาในการเซ็นชื่อแบบคงที่หรือไม่?

Maarten Bodewes avatar
in flag
โดยทั่วไป คุณอย่างน้อยต้องลงชื่อข้อมูลที่เชื่อมโยงกับเซสชันและโดยเฉพาะอย่างยิ่งกับการสร้างคีย์เซสชัน แต่โปรดศึกษาโปรโตคอลเช่น TLS เพื่อรับแนวคิด เวลามีความพิเศษน้อยกว่าที่คุณคิด ดังนั้นจึงไม่ดี คนอื่นอาจพยายามสร้างเซสชันในเวลาเดียวกันและขโมยลายเซ็นของคุณ - คอมพิวเตอร์ทุกวันนี้เร็วมากจริงๆ และการอาศัยนาฬิกาเป็นสิ่งที่อันตรายมาก นี่เป็นเหตุผลว่าทำไมการเซ็นชื่อแบบคงที่จึงไม่ดี มันเปิดโอกาสให้ **เล่นซ้ำการโจมตี**

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา