我正在使用中间人代理监控我的 Android 手机的网络流量。作为其中的一部分,我在我的手机上安装了一个证书(由我的服务器签名),我可以看到所有应用程序都以明文形式发送密码等敏感信息。
我知道 SSL 协议负责建立安全通信,但这是否消除了加密数据的需要?
问问题
345 次
1 回答
0
所以这里真的有两个问题:
它是否消除了在所有情况下加密数据的需要?不。
它是否消除了在大多数情况下加密数据的需要?是的。
要理解这些答案,我们需要讨论一件重要的事情:密钥分配。
您将如何获得用户(发出请求的用户)的密钥。如果您有可靠的侧通道,则可以在侧通道中发送密钥。这意味着即使攻击者可以解密 TLS 流,任何通过 TLS 加密和发送的数据都无法解密。
对于一般的网站,没有可靠的侧渠道。对于一般的网络服务也没有(像 sshd 这样的实现只是尽最大努力“假设第一个连接是好的”)。
如果您的数据足够重要以证明密钥的侧通道分发(最好是离线)是合理的,那么 TLS 内部添加的加密可以保护您免受某些攻击向量的影响。
但是,问问自己它是否值得您的用例。所有的安全性都是可用性和简单性的权衡......
于 2015-04-03T21:20:21.830 回答