我正在使用客户端/服务器,我已经为每个客户端提供了应用程序本身的公钥,并且在客户端和服务器之间的任何对话开始时,他们使用此公钥/私钥对共享AES密钥,然后每个使用此密钥对事物进行加密....
我想知道这个模型出现了什么问题....一个是服务器无法验证谁实际发送数据。数字签名......但用户稍后会发送它的凭据....
MIM攻击可以做什么?
答案 0 :(得分:1)
简而言之,这很复杂,不要试图重新发明它,只需使用SSL。有多种方法可以解决这个问题,除非这是出于学术目的,不要这样做。
答案 1 :(得分:0)
是的,你在这里冒风险。一个(攻击者)可以使用此public key并充当受信任的client。我猜您使用public key创建了ssh-keygen。