Veo que hay algunas API que intercambian algunas claves públicas de tipo
Asegure el contenido de la conexión https usando encriptación asimétrica. Es
¿Hay algún beneficio adicional para esto? Por lo que yo sé, debería ser
imposible para el hombre en el medio una conexión tls que tienen
fijación de certificados.
Lea el funcionamiento del protocolo TLS completo, es un excelente artículo disponible aquí: ¿Cómo funciona SSL / TLS?
En pocas palabras, las claves públicas se utilizan para permitir que el contenido que se ha cifrado mediante claves simétricas (claves derivadas como parte del protocolo de enlace) se autentique.
Los ataques del hombre en el medio no siempre se mitigan debido a la fijación de certificados. Por ejemplo, si el navegador nunca ha visitado el sitio antes, un hombre en el atacante central podría devolver su certificado que no menciona nada sobre la fijación.
El beneficio del cifrado de extremo a extremo está claro cuando se envía el contenido
de un usuario final a otro usuario final, lo que hace que el servidor de fondo no pueda
para leerlo.
No. Solo protege los datos en tránsito, cuando llega al servidor, cualquier cosa en ese servidor podría en teoría ver los datos.
Pero he visto algún ejemplo en el que solo se envían datos a
backend (cliente final para terminar backend), pero algún tipo de asimetría
se aplicó el cifrado.
Por ejemplo, AWS S3 permite al cliente cifrar los datos antes de enviarlos. yo
lea en algún lugar que Akamai también podría cifrar el contenido. tengo también
visto algunas instituciones que necesitan usar su tarjeta / claves para cifrar
el contenido.
S3 permite el cifrado asimétrico del lado del cliente. Lo que significa que su máquina local está cifrando los datos antes de enviarlos a AWS. Esto solo significa que usted, ni siquiera AWS, puede ver el contenido de los archivos. Esto es para la protección de datos en reposo, no datos en tránsito.
Volviendo a mi pregunta, ¿existe realmente algún beneficio de cifrado
contenido utilizando algunos medios (ya sea RSA o algún dispositivo) y enviándolo
sobre TLS con el certificado de fijación?
Depende de su aceptación de riesgos y requisitos de cumplimiento. Pero sí, el cifrado de datos no autentica los datos por sí solo. Si le envías a alguien un archivo cifrado, ¿cómo saben que en realidad proviene de ti? Alguien podría haber usado tu llave. SSL / TLS encripta, pero también autentica la conexión, para que sepa que realmente está "hablando" hasta el punto final en el que inició la comunicación. La identificación del certificado agrega seguridad de que, de hecho, obtienes el mismo certificado que obtuviste la última vez y, por lo tanto, es menos probable que estés involucrado en un hombre en el ataque central.