在这种情况下使用 RSA 加密是否足够安全/可能？

Question

不久前我发现了RSA加密/解密，并且有了一些小经验。目前我正在用 C# 开发一个应用程序，它必须向我的服务器发送一些敏感信息。我可以在 C# 程序中本地加密该信息，将其发送到服务器，然后解密（使用 PHP 脚本）吗？这足以确保除了服务器和客户端之外没有人可以看到原始信息吗？

编辑：客户端（C# 应用程序）不必解密任何信息，因此私钥将仅存储在远程网络服务器（当然是服务器端）上。

Answer 1

可能的？是的。棘手吗？非常是的。直接使用 RSA 并不容易；您需要小心地正确使用填充，并对数据进行签名以避免数据- 我建议您只需使用 SSL - 在客户端中硬编码可接受的证书，并验证

这是您要连接的服务器的证书。然后 SSL 库将为您处理所有棘手的细节。如果您正在进行某种批量传输，您还可以考虑调用 GnuPG，或使用其他类似的库。

Answer 2

假设您有一个长度合适的密钥（例如 2048 字节）且尚未被泄露，那么它应该可以。

当然，如果有人有足够的决心并且有足够的计算能力和时间，他们可以尝试暴力破解该消息（他们有可能很早就幸运，但可能性不大）。

Answer 3

是的，只要您不意外发送私钥，它就是安全的:)我做到了，并且没有人能够解密它，至少在合理的时间内无法解密:)

Answer 4

<块引用>

目前我正在用 C# 开发一个应用程序，它必须向我的服务器发送一些敏感信息。

这正是 SSL 的构建目的。你要重新发明它吗？

<块引用>

我可以在 C# 程序中本地加密该信息，将其发送到服务器，然后解密（使用 PHP 脚本）吗？

当然可能，但是您使用什么公钥？您是将其嵌入到您的应用程序中还是从服务器中提取？前一种方法很容易受到攻击，而后一种方法又回到了 SSL 的作用。

<块引用>

这足以确保除了服务器和客户端之外没有人可以看到原始信息吗？

当然，这是传输层安全的重点，保护传输中的信息。只需使用现有的技术来解决这个问题:)

Answer 5

这取决于您期望客户的安全程度。如果您用于加密数据的密钥随应用程序广泛分布，则它可能会落入可以使用该密钥来计算加密的人的手中，然后您的通信将不安全。但是，如果您的应用程序分发给一组选定的使用者，您知道这些使用者不会允许恶意闯入者获取密钥，那么您可以合理地确定您的密钥是安全的。

这里第一个明显的漏洞是暴露的密钥。假设您使用长度合适的密钥，RSA 通常是一个很好的协议。然而，如果你的钥匙暴露了，就像我上面说的那样，所有的赌注都会失败。

Answer 6

直接使用加密库几乎从来都不是一个好主意，因为您可能会错过许多棘手的极端情况，这些情况随后会成为安全漏洞。相反，您应该尝试尽可能使用现有的最高水平的技术。例如，如果您的客户端使用 TCP 连接到服务器，您可以轻松地将其替换为 TLS，TLS 或多或少会自动处理加密和解密。如果使用 HTTP 连接，您可以使用 HTTPS。如果您不确定要使用的最佳技术，请尝试告诉我们更多有关您的客户端和服务器如何通信的信息。

Answer 7

明显的漏洞取决于您如何分发应用程序。如果它是公开分发的，那么它可能会受到中间人的攻击。它的工作原理是这样的：攻击者会编写一个看起来像你的一样工作的模仿品，但使用他们的密钥将数据发送到他们的服务器。然后他们的服务器解密数据，用您的密钥重新加密并将其发送到您的服务器。任何回复均以类似方式处理。

对于最终客户端来说，唯一可能看到的差异可能是接收回复的时间稍微长一些——但如果你保持机器轻载，否则他们很可能永远不会知道/注意到。

Answer 8

您是否看过 XML-RPC （通过 https 或其他一些 ssl 方式） - 这也将消除为服务器端编写解析器的需要，因为几乎每种编程语言都有某种客户端/服务器 RCP 包。通常最好使用已建立的安全通信协议。 Vanilla 加密非常适合保护本地空间中的数据（例如加密硬盘或文件），但一旦开始获取和发送，常规 RSA 中就会出现一系列全新的漏洞。 （中间人攻击、欺骗等）

还可以扩展您的加密货币查找 Diffie-Hellman 密钥交换和椭圆曲线加密货币