客户端加密 - 有什么建议/最佳实践 - 为我指明正确的方向吗？

发布于 2024-09-12 00:31:46 字数 410 浏览 4 评论 0原文

我们需要加密客户端数据，以确保客户端浏览器和供应商之间存在“安全”通道。

基本前提是：供应商生成公钥/私钥对：VendorPub 和 VendorPriv

我们的客户输入敏感数据。提交表单上的 javascript 会对数据的敏感部分进行加密，提交到我们服务器的是 VendorPub(SensitiveData)。

我们将该包作为 VendorPub(SensitiveData) 提交给我们的供应商，只有他们才能使用该数据。

不考虑密钥长度和批准的算法（分别是 RSA 和 4096），当然整个事情将通过 SSL 连接...

它看起来可行，但我还没有模拟它...有什么建议吗？陷阱？

我们的开发环境是Visual Studio 2k5/ 2k8 / ASP.net 2.0或3.0

谢谢

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

听风吹 2024-09-19 00:31:47

这绝对是可行的；虽然它可能有点迟缓。

这是 JS 中的 RSA 实现： http://www.ohdave.com/rsa/

回复收藏 0 原文

黒涩兲箜 2024-09-19 00:31:47

如果您要使用 SSL 连接（尽管我更喜欢 TLS），似乎没有什么（如果有的话）理由这样做。

如果您决定无论如何都这样做，那么 PK 加密技术的最大陷阱就是 MITM 攻击，即您不想只接受服务器的密钥并用它来加密数据。这将确保只有服务器可以读取数据，但是如果您尚未验证服务器的身份，则可能会将其完全发送给其他人。这就是 1) SSL/TLS 连接建立缓慢，2) SSL/TLS 库庞大且复杂的主要原因。加密比身份验证容易得多。

不过，没有比自己加密更需要自己执行此操作的理由了——SSL/TLS 已经同时进行身份验证和加密。

回复收藏 0 原文

始于初秋 2024-09-19 00:31:47

好的，所以最终的答案是：
它是可行的、相当快并且相当安全。然而，由于这是 PCI 要求，旨在缩小我们的环境范围，所以它失败了，因为我们仍然拥有加密方法，即，将由我们的系统提供执行加密的 javascript。

感谢所有参与进来的人。

加里

回复收藏 0 原文

眼泪淡了忧伤 2024-09-19 00:31:46

目前的其他答案似乎忽略了这一点：“我们将该包作为 VendorPub(SensitiveData) 提交给我们的供应商，只有他们可以使用该数据”。换句话说，你是一个将数据视为黑匣子的中继者。

如果数据量不是很大的话，你所描述的是可行的。请记住，您不能让用户等待您的 JavaScript 运行。

顺便说一下，RSA4096 的规模大得可笑。 2048 目前是高级，3000 应该可以使用 30 多年。但是，给你更多的力量。解决公钥费用的一种正常方法是使用 RSA 加密对称 (DSA) 密钥 - 这样，实际数据的加密速度很快，唯一较慢的部分是解密（较短的）密钥。非对称密钥加密比对称密钥慢得多。

无论您决定实现什么，请确保在 JS 代码中进行正确的加密。

您还应该注意，这并不是真正保护用户免受您侵害的方法；而是一种保护用户免受攻击的方法。您控制网络服务器，因此您可以向用户发送经过修改的 JavaScript，通过您控制的密钥将他们的私人数据传递给您。用户不太可能注意到。

回复收藏 0 原文

~没有更多了~