自定义系统中基于HTTP的认证/加密协议问题的回答

自定义系统中基于HTTP的认证/加密协议

回答此问题可获得 20 贡献值，回答如果被采纳可获得 50 分。

我们有一个定制的程序，它需要在客户端和服务器之间进行经过身份验证/加密的通信（都是Python语言）。在 我们正在以一种非正统的方式从自定义编写的Diffie-Hellman+AES到RSA+AES进行全面检查。所以我对我的想法很感兴趣。在 前提条件：Klient有一个128位的注册密钥，在身份验证过程中它需要保持机密-这个密钥也是服务器和客户端之间唯一的共享机密。在 <ol> <li>客户机通过不安全的通道与服务器联系，并询问服务器RSA PubKey</li> <li>客户端然后查询服务器： [后面是伪代码]</li> </ol> <pre><code> RegistrationKey = "1dbe665ac7a944beb67f106f779e890b" clientname = "foobar" randomkey = random(bits=128) rsa_cp = RSA(key=pubkey, data=randomkey+clientname) aes_cp = AES(key=RegistrationKey, data=RegistrationKey+rsa_cp) send(aes_cp) </code></pre> 三。然后服务器响应： [后面是伪代码] ^{pr2}$ 现在双方都知道“clientuuid”、“sharedkey”，客户机以后可以使用它来对自己进行身份验证。上面的方法应该是安全的，即使攻击者后来学习了regkey，因为他必须破解RSA密钥，中间人攻击（针对RSA）应该停止身份验证。无法正确完成。我看到的唯一可能的攻击方法是攻击者知道regkey并可以在身份验证期间更改流量。我说的对吗？ <hr/> 我真的很想听听您的IDE，了解如何从这种方法中添加/删除什么，以及您是否知道一种更好的方法来进行这种交换。 PS！我们目前使用的是Diffie-Hellman（我自己的lib，所以可能有缺陷），我们已经尝试过使用PreSharedKeys的TLSv1.2（由于某些原因不起作用），我们被限制在http协议中，因为我们需要在django中这样做。因为我们在http中这样做，所以我们尽量保持请求/应答计数尽可能低（没有会话是最好的）-1将是最好的：） 如果您对具体细节有任何疑问，请提问。在 所以，你们这些加密/安全极客，请帮帮我：）

0 条评论
分类：Python问答

默认排序时间排序

1 个回答

匿名 1天前

　擅长：python、mysql、java

自定义系统中基于HTTP的认证/加密协议

1 个回答

相关Python问题