¿Cómo intercambiamos la clave pública de forma segura en una conexión DV SSL? [cerrado]

Question

¿Cómo intercambiamos la clave pública de forma segura en una conexión DV SSL? [cerrado]

#1 de Steffen Ullrich (2 votos)

0

Digamos que estamos ejecutando encriptación asimétrica en un servidor con encriptación DV SSL. Con esta condición establecida, ¿cómo enviamos la clave pública y la clave privada de los usuarios de servidor a cliente para que puedan descifrar y cifrar su mensaje en su extremo de forma segura?

Tengo una idea que es hacer un protocolo POST que puede evitar la visita normal del usuario usando GET para recuperar. Entonces, ¿cómo lo enviamos de forma segura ? No deberíamos enviar el par de claves en texto sin formato, ¿verdad? Pero, ¿cómo podemos enviarlo encriptado mientras el usuario no conoce la clave de descifrado? Y si les enviamos la clave, vuelve a ocurrir el mismo problema.

Editar:

Como se menciona en @Steffen Ullrich , mi clave pública y privada significó el uso del par de claves para cifrar el mensaje para enviar a otro usuario (como Bob y Alicia, es el par de claves que usa Bob para cifrar / descifrar el mensaje a / desde Alicia y viceversa), la única palabra relacionada con SSL en DV SSL que dije porque el seguro nivel, ya que la mayoría de los expertos en seguridad dijeron que deberías usar EV SSL para proporcionar un entorno más seguro, pero solo tengo DV .

web-application encryption vulnerability certificates asymmetric

pregunta Andrew-at-TW 17.10.2017 - 12:23

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application encryption vulnerability certificates asymmetric

¿Es seguro instalar CCleaner ahora? Dado un valor hash, ¿es posible determinar la longitud de la cadena inicial que se digirió? (SHA256)

score 2 · Accepted Answer

Si entiendo su pregunta correctamente, intenta hacer que el cifrado sea más sólido agregando otra capa de cifrado sobre SSL. Y desea hacer esto porque cree que los certificados EV proporcionan un cifrado más sólido que los certificados DV pero no puede obtener un certificado EV.

Si lo entendí correctamente, entonces tiene una comprensión errónea de SSL / TLS: la fuerza del cifrado no depende de los certificados DV vs. EV. La única diferencia entre estos es que hay menos emisores para certificados EV y que estos emisores verifican la identidad más a fondo de la parte que solicita un certificado EV. Esto significa que no hay diferencias técnicas reales que afecten la fortaleza del cifrado, sino principalmente las de organización. Sin embargo, una diferencia es que los navegadores suelen aplicar controles de revocación en los certificados RV, pero a menudo no para los certificados DV.

Pero debido a estas diferencias de organización, es más probable que alguien obtenga un certificado DV para su dominio, por ejemplo, comprometiendo su sitio, DNS o correo electrónico por un corto tiempo. Por lo tanto, podría estar inclinado a aumentar la confianza en su par al agregar otra capa de protección. Solo, la forma en que imaginas intercambiar un par de claves no funcionará ya que esto usaría la conexión en la que ya desconfías. En su lugar, dicha información debería proporcionarse fuera de banda (como enviar la clave de sus certificados de una manera realmente segura y confiable al par) o al hacer confianza en el primer uso (TOFU), es decir, asumir que el primer contacto no se verá comprometido e intercambie, por ejemplo, la huella dactilar clave esperada para todas las conexiones futuras utilizando HPKP .