Score:2

การรวม ECC และ AES สำหรับระบบ Web Chat

ธง us

ฉันกำลังทำงานกับแชทที่ปลอดภัยแบบพกพาผ่านเดสก์ท็อปหรือมือถือ ซึ่งใช้ OTP บวกกับการเข้ารหัสแบบอสมมาตร แนวคิดจะเป็นดังนี้:

สมมติว่าอลิซและบ็อบเป็นลูกค้า และเซิร์ฟเวอร์ดำเนินการโดยสตีฟSteve สร้างคู่คีย์ส่วนตัว/คีย์สาธารณะของเซิร์ฟเวอร์ ในขณะที่ Alice และ Bob สร้างคู่คีย์ไคลเอนต์ของพวกเขา สำหรับแต่ละข้อความ ไคลเอ็นต์จะสร้างคีย์ AES แบบสุ่มสำหรับเข้ารหัสข้อความนั้น จากนั้นจึงเข้ารหัสด้วยคีย์สาธารณะของเซิร์ฟเวอร์ ลูกค้ายังลงนามในข้อความด้วยคีย์ส่วนตัวเช่นกัน เซิร์ฟเวอร์จะถอดรหัสข้อความดังกล่าว เข้ารหัสด้วยรหัสสาธารณะของไคลเอนต์ออนไลน์ทุกเครื่อง และเผยแพร่ไปยังพวกเขา

มีปัญหาใดๆ กับการโหลด CPU บนเซิร์ฟเวอร์หรือไคลเอ็นต์ หรือปัญหาเกี่ยวกับการละเมิดความปลอดภัยที่เกิดขึ้นระหว่างการถ่ายโอนข้อความ หรือความคิดนี้ไร้ประโยชน์และจำเป็นต้องทิ้งไปหรือไม่ คู่คีย์ ECC จะเป็น 521 บิต ในขณะที่คีย์ AES จะเป็น 256 บิต

Eugene Styer avatar
dz flag
มีเหตุผลใดเป็นพิเศษในการไม่ใช้ TLS (ซึ่งส่วนใหญ่ทำในสิ่งเดียวกัน)
Red Sun avatar
us flag
@EugeneStyer ฉันต้องการให้แอปพลิเคชันแชทนี้ทำงานบนพอร์ตอื่นที่ไม่ใช่ 443 หรือ 8080 ดังนั้น TLS อาจไม่สามารถใช้งานได้
Eugene Styer avatar
dz flag
พอร์ต 443 ใช้สำหรับ HTTPS (ซึ่งใช้ TLS) แต่ TLS ไม่ได้จำกัดเฉพาะพอร์ตเหล่านั้น คุณสามารถระบุพอร์ต # ที่จะใช้เมื่อคุณสร้างซ็อกเก็ต TLS/SSL
Paul Uszak avatar
cn flag
คุณจะใช้ประโยชน์จาก OTP อะไร
Red Sun avatar
us flag
@PaulUszak ฉันจะเข้ารหัสแต่ละข้อความด้วยคีย์ AES แบบสุ่มที่แตกต่างกัน นั่นคือสิ่งที่ฉันหมายถึงสำหรับ OTP
Score:1
ธง cn

ฉันอ้างถึงคำตอบของคุณเอง

การใช้ TLS นั้นดีพอ

มีปัญหากับ ...snip... การละเมิดความปลอดภัยที่เกิดขึ้นระหว่างการถ่ายโอนข้อความหรือไม่

ใช่มีปัญหา คุณเข้าใจความหมายของความคิดเห็นที่เป็นความลับของ @forest แล้วหรือยัง? E2E = จบสิ้น. อาลา สัญญาณ.

ด้วย TLS การส่งข้อความไคลเอนต์/เซิร์ฟเวอร์จะถูกเข้ารหัส แต่ข้อความจะเป็นข้อความธรรมดาเมื่อส่งผ่านเซิร์ฟเวอร์ ซึ่งหมายความว่าใครก็ตามที่มีสิทธิ์เข้าถึงเซิร์ฟเวอร์ทั้งทางร่างกายและทางศาลจะสามารถอ่านข้อความทั้งหมดได้ และเริ่มต้น ผู้ชายที่อยู่ตรงกลาง การโจมตี อ่านเกี่ยวกับทั้งหมด ปัญหา ด้วยโทรศัพท์แบล็กเบอร์รี่

ทุกอย่างเกี่ยวกับสิ่งที่คุณต้องการบรรลุ และบางอย่างอาจสร้างปัญหาได้

Score:0
ธง us

ฉันจึงได้พบคำตอบคำตอบที่ให้ไว้ในความคิดเห็นโดย Eugene Styer ระบุว่าแค่ใช้ TLS ก็เพียงพอแล้ว เนื่องจาก TLS ไม่ได้จำกัดเฉพาะพอร์ตใดพอร์ตหนึ่ง

forest avatar
vn flag
คงจะไม่ใช่ E2E อย่างแน่นอน...
Ben Voigt avatar
cn flag
@ฟอเรสต์: คำถามไม่ได้อธิบายระบบแบบ end-to-end เช่นกัน

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา