1

我正在使用客户端/服务器,我在应用程序本身中为每个客户端提供了一个公钥,并且在客户端和服务器之间的任何对话开始时,他们使用这个公钥/私钥对共享一个 AES 密钥,然后每件事都被加密使用这个键....

我想知道这个模型会出现什么问题......一个是服务器无法验证谁实际发送数据。数字签名......但用户稍后会发送它的凭据......

MIM 攻击在这里可以做什么?

4

2 回答 2

1

总之,这很复杂,不要试图重新发明它,只需使用 SSL。有多种方法可以解决这个问题,除非这是出于学术目的,否则不要这样做。

于 2012-09-25T05:08:50.707 回答
0

是的,你在这里冒险。一个(攻击者)可以接受这一点public key并充当受信任的角色client。我猜你是public keyssh-keygen.

于 2012-09-25T05:19:58.440 回答