1

我在考虑是否有可能和/或可行的混淆和安全性如下:

  • 客户端启动与服务器的会话(这意味着发送并接受了有效的登录名和密码)
  • 服务器加密一个随机密码,它是私钥,然后将使用 Rijndael 的方法将其用于数据加密,并将两者发送回客户端(密码是加密的随机密码和 Rijndael 的加密数据,这是我们想要的客户上班)
  • 客户端将收到两者,验证密码以查看它是否使用我们的密钥对加密,如果是这样,它将用于解密数据。

据我所知,Rijndael 对密码大小有一些限制,所以这是否可能(考虑到加密随机密码的输出)?

是否有其他方法与我在这里的想法或试图描述的内容相近?

这还值得吗?

我想要这样的东西的原因主要是为了让任何试图重现我们的服务器与客户端通信的人都更难,除了我们使用 Smart Assembly。我希望你们专注于上述问题,忘记打包我的代码等。如果可能的话,将其视为客户端/服务器通信安全问题。

最好的祝福。

4

1 回答 1

1

我可以解决第一部分。如果服务器用他们的私钥加密一个密钥,任何人都可以用他们的公钥解密它。这为中间人攻击留下了一个巨大的漏洞。换句话说,如果我截获与你相同的令牌,我现在知道你知道的相同密钥。这意味着我可以看到所有来回的流量。

安全的关键一直是这个初始的密钥交换问题。您可能希望采用行业标准方法,例如 Diffie-Helman 进行实际的密钥交换。希望有帮助

于 2010-06-24T06:14:15.467 回答