¿Me gustaría saber si puedo usar PGP para garantizar la confidencialidad de los servicios web de SOAP? No quiero usar SSL, es un mecanismo lento para hacer un túnel para transacciones de datos de alto rendimiento. Aunque cifré los datos con una clave simétrica, la clave se cifrará con una clave pública asimétrica. Y presione el mensaje en la red, solo el receptor puede leerlo. ¿Es un buen patrón justo para los servicios web?
Cualquier ayuda será muy apreciada. Saludos
SSL será más rápido que SOAP + PGP. Criptográficamente, tanto SSL como PGP son sistemas híbridos que utilizan criptografía de clave pública para proteger claves de sesión simétricas. En la práctica, SSL se ha ajustado en el lado del cliente y del servidor para hacer lo que está haciendo rápidamente, PGP no se ha optimizado para este caso. Y tendrá que averiguar su distribución de claves y su mecanismo de confianza si lanza su propio método PGP.
Hacer su propio cifrado tendrá las ventajas de protegerlo de los casos habituales: proxies MITM, descifrado del acelerador.
Sin saber más sobre tu aplicación, es difícil de decir, pero en la mayoría de los casos, no vale la pena seguir tu propio camino. SSL proporciona bastante buena seguridad para la aplicación promedio.
PGP / GPG generalmente no se usa para servicios web. Se basa en que cualquiera se comunique para tener la clave pública de con quién se está comunicando. En servicios web esto generalmente no está garantizado. Por lo tanto, dependiendo del tipo de servicio que preste, puede que esto no sea lo ideal.
Si está tratando de proporcionar solo servicios a un grupo selecto de personas, entonces debería asegurarse de tener un servidor de claves configurado, todos los usuarios tendrían que generar / tener claves PGP / GPG, todos los usuarios tendrían para cargar esas claves en el servidor de claves, y su aplicación tendría que proporcionar medios para configurar qué servidor de claves utilizar.
En mi opinión, no vale la pena el uso de PGP / GPG en lugar de SSL / TLS. Cualquier tipo de lentitud que pueda pensar que SSL / TLS tiene se compone de facilidad de uso y accesibilidad. Y con toda honestidad, realmente no es lento. Hay una razón por la cual la mayoría de las aplicaciones lo utilizan para la seguridad basada en la web.
Directamente desde la Página de Wikipedia de SOAP
SOAP también se puede usar sobre HTTPS (que es el mismo protocolo que HTTP en el nivel de la aplicación, pero utiliza un protocolo de transporte cifrado debajo) con autenticación simple o mutua; este es el método WS-I recomendado para proporcionar seguridad de servicio web como se indica en el Perfil 1.1 de WS-I Basic.
SSL ya está incluido en la mayoría de las bibliotecas de forma natural, por lo que la diferencia entre un servicio web de texto sin formato y la versión SSL es insignificante en términos de desarrollo en ambos lados. Si el cliente hace uso de conexiones persistentes o reutiliza la sesión SSL, la negociación entre el cliente y el servidor es aún más ligera y rápida. El proceso de autenticación es más fácil usando una Autoridad de Certificación conocida, por lo que no es necesario intercambiar claves. Además, hay aceleradores de SSL que utilizan componentes específicos de hardware para reducir la carga de la CPU.
Lea otras preguntas en las etiquetas pgp confidentiality web-service