Điểm:0

Xác thực giữa hai máy chủ bằng PKA

lá cờ cn

Tôi đã gặp một sự cố nhỏ liên quan đến xác thực giữa 2 dịch vụ (Giao tiếp một chiều) bằng cách sử dụng xác thực khóa công khai và khóa riêng (Đường cong Elliptic, secp256k1).

Các dịch vụ sẽ giao tiếp qua API REST qua HTTPS và việc triển khai được đề xuất sẽ yêu cầu khách hàng ký thứ gì đó bằng khóa riêng của nó, gửi chữ ký cùng với phần còn lại của dữ liệu, trong tiêu đề xác thực và máy chủ xác minh chữ ký đó với khóa công khai.

Tôi có một thư viện để thực hiện ký và xác minh thực tế, vì vậy phần mã hóa thực tế của nó vẫn ổn và tôi biết nó phức tạp hơn nhiều so với các lựa chọn thay thế (ví dụ: Chỉ một khóa API), nhưng nó không làm phiền tôi miễn là bản thân khái niệm này không có sai sót và ít nhất nó cũng an toàn như các lựa chọn thay thế (có thể đơn giản hơn) khác.

Đây có phải là một ý tưởng tốt? Nếu không, Tại sao? Nếu đúng như vậy, chính xác thì tôi phải ký cái gì? Là bất cứ điều gì tốt (Nói, ngày nay)? Có vấn đề gì khi ký tên tĩnh không?

Maarten Bodewes avatar
lá cờ in
Nói chung, ít nhất bạn phải ký thông tin được liên kết với phiên và đặc biệt là với việc thiết lập khóa phiên. Nhưng vui lòng nghiên cứu các giao thức như TLS để có một số ý tưởng. Thời gian ít độc đáo hơn bạn có thể nghĩ và do đó không tốt; những người khác có thể thử và thiết lập một phiên cùng lúc và đánh cắp chữ ký của bạn - ngày nay máy tính thực sự rất rất nhanh và việc dựa vào đồng hồ là rất rất rất nguy hiểm. Đây cũng là lý do tại sao ký một cái gì đó tĩnh là không tốt, nó cho phép **các cuộc tấn công phát lại**.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.