¿Es seguro el siguiente esquema de comunicación?
En mi opinión, utiliza el módulo RSA y el exponente de la clave pública como un secreto criptográfico, lo que es un uso extraño de RSA, pero ¿se puede romper fácilmente debido a eso?
Descripción de la comunicación proporcionada por el proveedor:
- El cliente genera un nuevo par de claves RSA de 1024 bits en su máquina cada 10 horas y carga una clave pública al servidor. El cliente se autentica con una contraseña y el servidor se autentica con el certificado SSL / TLS.
- Si el Servidor desea que el Cliente proporcione los datos, el Servidor genera una clave AES y la envía al Cliente cifrando el mensaje con la clave pública del Cliente mediante la biblioteca OpenSSL.
- El cliente envía los datos cifrados con AES al servidor.
Problema potencial: ¿el servidor está autenticado contra el cliente en la segunda parte de la comunicación?