Mezclando Off-The-Record y SSL clásico

4

Estoy desarrollando un sistema de pubsub sobre Node.js y Socket.io. Decidí implementar el cifrado Off-The-Record (OTR) de forma predeterminada para todas las transferencias de datos entre clientes y servidores. La pregunta es ¿necesito conectar además certificados clásicos para asegurarme de que incluso las consultas de OTR se cifrarán?

Si sería una buena idea conectar ambos OTR y SSL, ¿qué uno debe cubrir al otro? Quiero decir, ¿necesito cifrar el tráfico primero con cert y luego enviarlo entre los clientes usando OTR para protegerlo dos veces o primero debo usar OTR y luego simplemente cifrar todo el tráfico con y posiblemente sin OTR (como solicitudes de apretón de manos y otras) que)?

    
pregunta John Smith 17.07.2016 - 02:51
fuente

1 respuesta

1
  

La pregunta es, ¿necesito conectar además certificados clásicos para asegurarme de que incluso las consultas de OTR se cifrarán?

Siempre y cuando implementes OTR correctamente usando libotr o las especificaciones , no tienes para hacer frente a los certificados clásicos de PKI. OTR opera utilizando el modelo TOFU , con la capacidad opcional de verificar la huella digital de otra persona a través de un canal externo.

  

Si sería una buena idea conectar ambos OTR y SSL, ¿qué debe cubrir otro?

TLS opera sobre la capa TCP. Cualquier tráfico TCP arbitrario se puede cifrar utilizando TLS, ya que es completamente independiente del formato. Por otro lado, OTR está diseñado para cifrar caracteres imprimibles y convertirlos a ASCII simple. Ni siquiera es posible colocar OTR sobre TLS, ya que OTR toma el texto como entrada y escupe el ASCII base64 como salida. Haga que TLS cifre la secuencia OTR si hace esto.

    
respondido por el forest 30.11.2017 - 04:16
fuente

Lea otras preguntas en las etiquetas