¿Hay algún beneficio en el cifrado de mensajes con PGP que se transmitirá a través de SSL a un servidor REST?

Navega tus respuestas
3

¿Habría algún beneficio en absoluto cifrar un mensaje utilizando PGP antes de enviarlo a un servidor REST a través de SSL, o es completamente redundante y una pérdida de tiempo de procesamiento?

Por ejemplo, ¿podría estar configurado el SSL de un servidor tan pobremente que un intruso podría oler los paquetes y leer los mensajes en texto sin formato? ¿En qué momento cifrar los mensajes con PGP proporcionaría una protección segura para esto?

Lo pregunto porque comencé a jugar con un servidor de socket Python, en el que estaba cifrando todos los mensajes con PGP, pero ahora quiero hacerlo en un servidor REST, y me di cuenta de que, de todos modos, lo haría por SSL.

    
pregunta Matthew Moisen 29.03.2016 - 22:49
fuente

2 respuestas

2

No, PGP no es necesario si SSL está configurado correctamente. Por supuesto, "agregará más seguridad", pero el beneficio no supera la molestia de crearlo.

Si un agente malintencionado en medio podría descifrar el tráfico (MITM, ...), también podría preguntarse si alguien podría acceder al entorno de su aplicación web y usar la clave privada de su par de llaves generado para descifrar tráfico.

Si también desea autenticar su conexión, siempre puede emitir certificados del lado del cliente y realizar una autenticación mutua; Esto le dará confidencialidad e integridad de los datos. Y es mucho más fácil que implementar PGP en una aplicación / cliente web.

    
respondido por el ndrix 30.03.2016 - 00:15
fuente
1

Sí, pero no principalmente por el aspecto del tráfico que se está rastreando. Si el servidor REST almacena sus datos encriptados PGP temporalmente, entonces esos datos se "extraen y no se envían" a un servidor más seguro en un área más segura (posiblemente detrás de un firewall que no permite conexiones entrantes desde un servidor menos seguro). Luego, los datos se pueden descifrar en un servidor que no permite conexiones dentro o fuera de Internet (o cualquier otra red que le preocupe). Esta arquitectura reduciría radicalmente la superficie de ataque relacionada con el sistema donde se almacenan los datos (a diferencia de los datos descifrados que se encuentran en un sistema conectado directamente a Internet). Esto es especialmente útil si ambos lados de la comunicación son disciplinados sobre la implementación de este mismo proceso en ambos lados.

Básicamente, se puede ver como una capa adicional de defensa en profundidad "if" implementada correctamente. Nota: esto también sirve como una capa adicional de defensa en profundidad durante el proceso de transmisión también.

    
respondido por el Trey Blalock 30.03.2016 - 01:07
fuente

Lea otras preguntas en las etiquetas

Escaneo ASV: ¿Qué esperar de los servicios de escaneo externos? ¿Uno de mis archivos abiertos se convirtió en una lista de URL y códigos después de hacer clic en un enlace en un correo electrónico de phishing?