¿Qué protocolos son los más seguros para lograr la autenticación y el cifrado de un cliente que descarga datos desde un servidor?

Navega tus respuestas
-1

Soy nuevo en Seguridad de la información, así que tenga paciencia si esta pregunta es bastante trivial.

Quiero diseñar un protocolo seguro que permita a alguien descargar datos que les pertenecen desde un servidor a su teléfono celular. El protocolo tiene cuatro requisitos. Tengo algunas ideas generales sobre qué se debe implementar para cumplir con los requisitos, pero me gustaría algunas sugerencias alternativas ya que no tengo mucha experiencia en el campo.

Los requisitos son:

  1. Debe haber un protocolo de autenticación entre el cliente y el servidor. (Para esto estaba pensando en una solución de contraseña de un solo uso).
  2. La transferencia de datos debe ser segura y resistente a la interceptación.
  3. Los datos transferidos deben tener su confidencialidad protegida (¿cifrado DES?).
  4. El servidor debe estar protegido de los ataques DoS (¿tiene un número limitado de solicitudes por usuario por unidad de tiempo?).

Hay algunas suposiciones sobre el sistema:

  1. El teléfono celular ofrece un sistema de cifrado simétrico basado en DES, así como un función hash segura.
  2. Cada teléfono celular tiene una contraseña registrada en el servidor, pero no comparte ninguna clave DES adicional con el servidor.
  3. El teléfono no puede ejecutar ningún sistema de cifrado asimétrico, como RSA
  4. Los dispositivos son incompatibles con Kerberos.

¿Cuál sería la mejor manera de solucionar este problema?

Gracias de antemano :)

    
pregunta user3396592 27.11.2016 - 13:28
fuente

1 respuesta

0

Hay varias opciones para esto, pero quizás la más sencilla dado que sus requisitos es usar HTTPS. Tendría enlaces generados de forma aleatoria que solicitarían la contraseña de un solo uso para la autenticación de descarga. También me gustaría poder establecer un período de tiempo para el cual el contenido esté disponible para descargar con el enlace. Si los datos están en el webroot, asegúrese de que los permisos de los archivos no permitan el acceso directo a los archivos o incluso la lista de directorios.

En cuanto a mitigar un ataque DDoS ... eso no es una tarea fácil o algo que pueda ser completamente manejado por la aplicación. Claro que puedes acelerar según la IP ... pero recuerda que estamos hablando de un ataque distribuido. Yo sugeriría mirar a través de una red de entrega de contenido (CDN) como Akamai. Esa es una muy buena solución para DDoS. Espero que esto ayude.

Los datos son confidenciales en tránsito porque en HTTPS la sesión / canal encriptado se establece antes y se realizan solicitudes HTTP.

    
respondido por el Beetle 27.11.2016 - 19:41
fuente

Lea otras preguntas en las etiquetas

Probadores de páginas web de caja blanca [cerrado] Cómo recuperar la base de datos Mongodb en la instancia EC2 [duplicado]