假设我正在通过套接字连接传输数据,并且我不担心数据被嗅探到或有人用错误的信息替换我的数据包-数据被加密,并且客户端和服务器是唯一能够解密数据的人。使用通过SSL / TLS解决的普通套接字还有其他安全问题吗?谢谢。
答案 0 :(得分:0)
使用通过SSL / TLS解决的普通套接字还有其他安全问题吗?
除了简单地加密数据外,SSL / TLS还可以防止重播攻击,篡改加密的数据包(像AES这样的简单加密可以修改加密的数据包,该数据包仍然可以成功解密为不同的内容)和中间攻击(由于对等方的身份验证)。通过正确的密钥交换,它还提供了前向抵抗能力(防止收集数据并随后利用被黑客入侵的机密解密)。正确地做到这一点还可以抵抗基于时间的边信道攻击。
仅将AES与共享的机密一起使用,甚至更糟的是,某些自制的加密方法无法防止大多数情况。加密并不简单,因此请don't roll your own,但要使用现有和已建立的技术。