SSL vs cifrado

Navega tus respuestas
3

Estoy trabajando en la creación de una aplicación móvil Android que necesita conectarse a un servidor de vez en cuando. La aplicación hace uso de datos confidenciales que no me gustaría tener en las manos equivocadas.

Hasta ahora he podido crear un modelo para proteger datos confidenciales tanto en el dispositivo como en el servidor. Sin embargo, todavía soy vulnerable al hombre en los ataques medios.

He leído y buscado por mi cuenta y he encontrado que puedo cifrar los datos durante el transporte utilizando la infraestructura de clave pública AES o puedo usar un certificado SSL. Obviamente, SSL sería lo mejor que podía hacer, pero nuevamente me preocupa la sobrecarga de cómputo que requerirá.

Investigando más a fondo me llevó a encontrar RCF-SSL, que es rápido y conveniente ya que Google implementa este sistema, pero una simple búsqueda revela que los piratas informáticos pueden descifrar fácilmente los datos cifrados RCF.

¿Cuál sería el método preferido de seguridad del transporte y por qué? Si se trata de SSL, ¿qué estrategia de cifrado es segura, rápida, no requiere una sobrecarga de cómputo y es preferible que sea reconocida por la mayoría de los navegadores?

    
pregunta Princeobi007 03.07.2013 - 09:41
fuente

3 respuestas

3

Al utilizar DefaultHttpClient de Android, puede establecer una conexión HTTPS y configurarlo para confiar solo en ciertos certificados. Es bastante fácil de usar y ya está allí. Incluso puedes usar SSLSocket si no te interesa HTTP. El punto principal es: no hagas tu propio criptográfico .

En cuanto a los gastos generales, no te preocupes, la mayoría de las veces es insignificante. Sus datos son confidenciales y la comunicación sucederá de vez en cuando. Por lo que puedo ver, no hay nada en contra del uso de SSL aquí.

    
respondido por el Adi 03.07.2013 - 23:29
fuente
1

La mejor solución para la seguridad del transporte es TLS / SSL. Es compatible de forma predeterminada y la sobrecarga es mínima. Es compatible con la autenticación implícita también.

Si desea que los usuarios SÓLO confíen en sus servidores, puede crear su propio certificado de CA que distribuye con su aplicación y que le indica a su aplicación que use como su única raíz de confianza. Luego puede firmar sus propios certificados de servidor con ese certificado CA personalizado. Asimismo, puede realizar la autenticación de cliente firmando certificados de cliente con la misma CA que puede distribuir a los usuarios de la aplicación utilizando la estrategia que elija.

Como se mencionó en otra parte, solo use las utilidades proporcionadas por la plataforma. Si está pensando en protocolos de cifrado específicos, es casi seguro que lo está haciendo mal.

    
respondido por el tylerl 04.07.2013 - 03:50
fuente
0

La línea de fondo utiliza SSL y educa a sus usuarios. Si desea una protección máxima, utilice Validación ampliada pero pagará una prima por ello. SSL aún puede ser susceptible a un hombre en el ataque central si el usuario hace clic en la advertencia. Los navegadores modernos hacen un poco mejor trabajo asustando a las personas para que no acepten un certificado no válido, pero muchas veces simplemente hacen clic. Asegúrate de educar a tus usuarios. Muéstrales cómo se ve un certificado malo y no lo aceptes bajo ninguna circunstancia.

Si los datos son tan confidenciales y no quiere arriesgarse, haga que los usuarios accedan a la red VPN antes de que puedan acceder al sitio y seguir utilizando SSL por si acaso.

    
respondido por el Four_0h_Three 04.07.2013 - 04:16
fuente

Lea otras preguntas en las etiquetas

¿Guardar la contraseña de hash y los datos cifrados con esta contraseña en db? Conversión de decimal negativo a hexadecimal