我需要在SilverLight应用程序之间发送数据。我有要求说应该使用安全协议(如SSL / TLS)传输数据。由于性能原因,使用TCP套接字发送数据。不幸的是,SilverLight不支持SslStream。如果我想通过SSL / TLS传输数据,我需要购买第三方库,例如SecureBlackbox。在处理传输层时,我不想依赖第三方库。
但是,SilverLight有CryptoStream级。我正在考虑使用WCF over SSL交换密钥进行对称加密(SilverLight支持),然后使用CryptoStream使用AES加密数据。
这个解决方案安全吗?是否可以将其与安全性方面的SSL / TLS进行比较?我缺少一些明显的安全漏洞吗?
答案 0 :(得分:1)
我猜AES方法的主要问题是密钥管理和密钥验证。我确定您知道SSL使用“握手”,它使用CA链(证书颁发机构)来验证SSL证书的有效性。这一切都发生在为SSL会话生成AES密钥之前。因此,如果不使用SSL,您就会错过这一重要步骤。
这意味着您负责验证密钥是否安全并以安全的方式进行交换。