मेरा एक सवाल है कि उपयोगकर्ताओं के बीच संदेशों को कैसे एन्क्रिप्ट किया जाए। नोट: मैं केवल क्रिप्टोग्राफी सिद्धांत के बारे में बात करूंगा न कि विंडोज क्रिप्टोग्राफी के साथ C ++ जैसे प्लेटफ़ॉर्म डिपेंडेंट कोड। मैं सिस्टम प्रोग्रामिंग के बारे में बात कर रहा हूं और टीएलएस, एसएसएल, आदि के साथ वेब प्रोग्रामिंग एन्क्रिप्शन नहीं ...

इसके अलावा, प्रमाणपत्रों और संदेशों के हस्ताक्षर पर ध्यान न दें, इसलिए केवल सार्वजनिक कुंजियों के बारे में सोचें, जिन्हें पहले से ही सत्यापित किया जा रहा है कि वे धोखाधड़ी करने वाले नहीं हैं और संदेश सही उपयोगकर्ता के हैं।

मेरा मानना है कि उपयोगकर्ताओं के बीच तेजी से और सुरक्षित एन्क्रिप्शन संचार तक पहुंचने का सबसे अच्छा तरीका दोनों उपयोगकर्ताओं के पास सत्र कुंजी के साथ होना है क्योंकि सत्र कुंजी के सुरक्षित हस्तांतरण के लिए असममित एन्क्रिप्शन, और असममित एन्क्रिप्शन (आरएसए) का उपयोग करना तेजी से होता है।

मुझे पता है कि डिफि-हेल्मैन जैसे अन्य महत्वपूर्ण समझौते एल्गोरिदम हैं, लेकिन आरएसए के साथ छड़ी करते हैं जो कि मैंने चुना है।

कृपया मुझे बताएं कि क्या आप देखते हैं कि यह असुरक्षित (मैन-इन-द-मिडल अटैक) हो सकता है या एन्क्रिप्टेड संचार करने का काफी अक्षम तरीका है।

सिद्धांत कदम:

I।) पक्ष = {सर्वर, क्लाइंट}

Ii। सर्वर: जनरेट सत्र कुंजी (RC4)

Iii। ग्राहक: निजी / सार्वजनिक कुंजी जोड़ी (RSA) उत्पन्न करें

Iv। ग्राहक: सर्वर के लिए सार्वजनिक कुंजी भेजें

V।) सर्वर: क्लाइंट की सार्वजनिक कुंजी के साथ सत्र कुंजी एन्क्रिप्ट करें, फिर ग्राहक को एन्क्रिप्टेड सत्र कुंजी भेजें

Vi।) ग्राहक: ग्राहक की निजी कुंजी का उपयोग करके सत्र कुंजी को डिक्रिप्ट करें

Vii।) दोनों पक्ष अब तेज एन्क्रिप्टेड संचार के लिए सत्र कुंजी रखते हैं

सर्वर (सर्वर का सत्र कुंजी) <-> सत्र कुंजी का एन्क्रिप्टेड पैकेट (संचार माध्यम) <-> ग्राहक (सर्वर का सत्र कुंजी, क्लाइंट का सार्वजनिक / निजी कुंजी युग्म)

धन्यवाद!

-1
Shawn A 25 पद 2015, 05:41

1 उत्तर

RSA के साथ रहने की अनुमति देता है जो कि मैंने चुना है।

यहीं से आपकी सबसे बड़ी भेद्यता है।

प्रोटोकॉल जैसे कि टीएलएस (जो आरएसए का उपयोग कर सकते हैं) एसएसएच और पीजीपी एन्क्रिप्शन की बातचीत के लिए एक अच्छी तरह से परिभाषित तंत्र प्रदान करते हैं, और कार्यान्वयन जैसे कि ओपनसेल एक दस्तावेज, परीक्षण, पोर्टेबल, मजबूत प्रदान करते हैं और हम अमूर्त परत का परीक्षण करेंगे।

अपने स्वयं के समाधान को रोल करने से कमजोरियों को इंजेक्शन लगाने का भारी जोखिम होता है। और रखरखाव में जारी दर्द की ओर इशारा करता है।

BTW RC4 को कई लोगों द्वारा टूटा हुआ माना जाता है।

1
symcbean 25 पद 2015, 02:50