我在客户端 - 服务器应用程序中使用AES进行加密.
目前,我已经简单地定义了一个静态对称密钥,它在客户端和服务器中都是硬编码的.
我感觉这不是很安全,因为通过反转/反汇编可执行文件来获取密钥应该不会太难.
另一方面,我没有看到像Diffie-Hellman这样的密钥交换如何解决问题,因为密钥最终将在客户端的内存中结束,并且(可能)也可以通过某种方法提取.
我正在读到所有这些,包括加密和/或混淆密钥,都不安全.但它是如何安全地完成的?
密码学无法保护用户的软件.
如果用户有权运行您的代码,他有权查看操作码,从而发现代码中的所有信息.
加密可以保护用户免受其他用户的侵害.
现在可能是重新检查用例的时候了.我们在这里想要实现的目标是什么?
我们是在尝试保护专有协议流,还是在保护用户的身份和数据?
对于前者,你需要一个律师(和口袋).对于后者,良好实现的公钥/私钥加密就足够了.
| 归档时间: |
|
| 查看次数: |
239 次 |
| 最近记录: |