में डेटा ट्रांसमिशन की संदेश अखंडता और गोपनीयता सुनिश्चित करता है, मैं OWASP Web Service Security के अनुसार वेब सेवा सुरक्षा लागू करना चाहता हूं। इस प्रकार मैं दो अंक से अधिक ठोकर खाई:क्या टीएलएस एक विश्वसनीय जावा एंटरप्राइज़
अब तक सिर्फ एक RESTful सेवा जो किसी क्लाइंट द्वारा पहुँचा जा सकता है। प्रत्येक अनुरोध के लिए ग्राहक को सर्वर द्वारा प्रमाणित करने की आवश्यकता होती है। सभी संचार टीएलएस के माध्यम से सुरक्षित है। मैं अब के बारे में Message Integrity
अनिश्चित हूँ के बाद से मैं वाक्य समझ में नहीं आता:
सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग कर, एन्क्रिप्शन गोपनीयता की गारंटी है, लेकिन यह ईमानदारी की गारंटी नहीं है के बाद से रिसीवर की सार्वजनिक कुंजी सार्वजनिक है। इसी कारण से, एन्क्रिप्शन प्रेषक की पहचान सुनिश्चित नहीं करता है।
क्या यह भी आवश्यक है कि क्लाइंट द्वारा डेटा पर हस्ताक्षर किए गए ताकि संदेश अखंडता सुनिश्चित हो सके? टीएलएस केवल पॉइंट-टू-पॉइंट, प्रॉक्सी के बारे में क्या है?
Message Confidentiality
से संबंधित, मैं इसे निम्नानुसार समझ गया।
- तार पर संदेश गोपनीयता सुनिश्चित करने के लिए टीएलएस का उपयोग करें।
- प्रेषित डेटा एन्क्रिप्ट करने के लिए एक सममित एन्क्रिप्शन का उपयोग करें।
- एन्क्रिप्टेड डेटा डेटा बेस में संग्रहीत किया जाता है।
क्या मैं इसे सही समझ गया?
टीएलएस में सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग किया जाता है। टीएलएस में प्रारंभिक सार्वजनिक कुंजी क्रिप्टो चरण है जहां सहकर्मी सुरक्षित रूप से एक सममित सत्र कुंजी का आदान-प्रदान करते हैं। बाद के संचार एक सममित कुंजी सिफर के साथ एन्क्रिप्ट किया गया है। –
@ मिहाईटोमेस्कू आप गलत हैं। टीएलएस सममित सत्र कुंजी कभी प्रसारित नहीं होती है। एक कुंजी समझौते प्रोटोकॉल के माध्यम से दोनों सिरों पर स्वतंत्र रूप से बातचीत की जाती है। * सिफर स्वीट्स के कुछ * * प्री-मास्टर गुप्त * के सार्वजनिक-एन्क्रिप्शन निर्दिष्ट करते हैं, जो बिल्कुल वही नहीं है। – EJP
यह सही है, सत्र कुंजी स्थापित है (उदाहरण के लिए डिफी हेलमैन के माध्यम से) लेकिन कभी प्रसारित नहीं किया गया। यह बात बताने के लिए धन्यवाद। –