¿Cuáles son las desventajas de no usar SSL / TLS pero usar el mismo cifrado que SSL / TLS? [cerrado]

1

¿Cuáles son las desventajas de no adherirse a TLS, por ejemplo, usar directamente algoritmos de cifrado (RSA de 2048 bits, AES de 128 bits con el relleno adecuado) provistos por la biblioteca SSL para generar claves, cifrar, usar "certificados" propietarios y Protocolo propietario en general. Lo primero que me viene a la mente es que esto evitará los ataques degradados y permitirá que el desarrollador implemente un mecanismo contra los ataques de tiempo, mi principal razonamiento aquí es que para estar seguro de que la biblioteca no hará nada peligroso detrás de la escena.

    
pregunta Bleeding Alice 19.07.2017 - 19:09
fuente

1 respuesta

3

El mayor inconveniente es que esperas eso porque estás escribiendo algo más pequeño, también será más seguro. En realidad, esto es muy difícil de hacer.

Dado que debe controlar ambos extremos de la conexión para incluso considerar la implementación de un protocolo personalizado en lugar de TLS, hay otra manera de aumentar la seguridad y reducir la superficie de ataque sin tener que realizar el invento y la implementación. Un protocolo personalizado y con la esperanza de que sea más seguro.

Por ejemplo:

¿Quieres evitar ataques de degradación? Deshabilite todo excepto TLS v1.2 en sus servidores y clientes.

¿Desea asegurarse de que solo se utilicen paquetes de cifrado sólidos? Deshabilita cualquier cosa excepto tus suites de cifrado AEAD.

Tienes muchas opciones cuando usas las bibliotecas TLS existentes para bloquearlas y endurecerlas, e incluso con todas sus verrugas, se han sometido a un análisis mucho más intenso que un protocolo personalizado que hayas creado. Es mejor no volver a implementar la rueda, sino simplemente aprovechar la oportunidad de configurar TLS de la forma más segura posible.

    
respondido por el Xander 19.07.2017 - 21:09
fuente

Lea otras preguntas en las etiquetas