SSL +额外的加密层

Question

我想知道如果客户要求在 SSL 之上进行第二层加密该怎么办？

例如，我有一个 SSL 隧道，客户希望我对流经该隧道的数据使用对称密钥加密。对称密钥是基于会话的，并通过原始 SSL 隧道从服务器发送到客户端。

我不明白这如何更安全。如果 SSL 隧道被泄露，那么理论上，从服务器发送来在会话期间进行对称加密的对称密钥也会被泄露。

任何人都可以对这种情况提出不同的观点吗？我确信，如果事先建立了共享秘密（例如一次性密码），这将使事情变得更安全，但由于秘密是通过 SSL 在会话中传递的，所以我看不到它如何为我们带来额外的安全感。

你有什么想法，你有过类似的经历吗？

谢谢

Answer 1

听起来像是客户的“下一个好主意”，他们认为阅读“我的第一个加密货币”使他们能够以某种极其聪明的方式重新发明轮子:)

这样的事情通常是无稽之谈，更是如此，因为正如你所说，对称密钥已发送沿着。

但是，我可以想到一种可能有意义的场景 - 许多大公司或机构都有禁止端到端 SSL/TLS 连接的策略。它们会在某个时刻终止传入的 TLS，以便能够扫描纯文本数据是否存在病毒等。在这种情况下，在应用程序级别对数据进行额外加密以防止内部窃听可能是有意义的。

但话又说回来，你可能会违反内部规定......