从服务器向移动客户端发送AES密钥和IV以用于加密敏感数据是否安全?密钥和IV将使用TLS发送。该密钥将用于加密端到端的数据。
更新:
我的要求实际上已经改变了,所以我不需要这样做,但我想出的解决方案实际上是让客户端通过tls向服务器发送公钥。然后,服务器可以使用该公钥加密密钥并将其发送回客户端。
答案 0 :(得分:3)
它与TLS中的任何数据一样安全。它还取决于您的客户端对此TLS的信任程度,该TLS可能没有双面身份验证。
但基本上以这种方式发送密钥并不会添加使用TLS。如果TLS不安全,则AES密钥不安全。如果不是,那么AES密钥是安全的......但是TLS已经是安全的。如果您使用提供前向安全性的密码套件(DHE_或ECDHE _),则可能会有一些优势。
但主要是,如果您发送任何内容,则会发送公钥,例如PGP密钥。另一方面,此人仍然必须信任发送者(即通过验证指纹),但如果TLS连接不安全,那么泄露公钥至少不会破坏使用它加密的任何内容。