我想知道jCryption +挑战响应认证机制是否是SSL的一个很好的替代方案。
我知道SSL非常好,但我正在制作一个项目,业主不想购买SSL证书,我想找到一个解决方案,以提供可获得的最佳安全方法不使用SSL。
有什么想法吗?
答案 0 :(得分:7)
不,不是。
在我的头脑中,我可以想到很多原因:HTTP标头仍未加密,密钥交换容易受到中间人攻击,并且您对此非常信任客户端代码。
答案 1 :(得分:4)
在jCryption的信息部分:
jCryption它的当前状态不能替代SSL,因为没有身份验证,但jCryption的主要目标应该是一个非常简单快速的安装插件,提供了一个基础安全等级。
这是不言自明的。这个插件不是以任何方式替代SSL,也不是它的意思。目标不是高科技安全。
如果您想要以任何方式信任的安全性,只需购买SSL证书即可。或者如果你愿意,可以自己制作。
答案 2 :(得分:2)
您可能对这篇文章感兴趣:
答案 3 :(得分:1)
您可以尝试使用Challenging Authentication-Agreement Protocol (CAAP)。我建议您在CTR模式下使用RSA和Serpent的算法,并在每条消息后附加HMAC-SHA-512身份验证代码。这可以用最少的知识安全地实现。虽然配置良好的SSL系统可能更容易和更安全。
如果这不是面向公众的服务器,您始终可以在组织内部启动自己的证书颁发机构。这样,SSL证书就不会让你失去一条腿和一条腿。
答案 4 :(得分:0)
jCryption仅打算为您的敏感数据提供二级保护。 SSL始终是您的主要加密和保护机制。
由于大多数网站完全依赖SSL证书进行保护,因此开发了新的方法来破解或窃取证书。万一您的证书被盗,您将在中间攻击中暴露于人类。这就是jCryption发挥作用的地方。如果您具有二级保护(类似于2要素身份验证),则黑客仍然无法有效访问您的敏感数据。
希望这会有所帮助。