L'implementazione JavaScript di AES è meno sicura rispetto ad altre implementazioni linguistiche?

6

Sono disponibili alcune implementazioni JavaScript AES come Gibberish-aes

Quindi, supponendo che l'algoritmo AES sia stato implementato correttamente in questa libreria, dovrebbe essere sicuro come qualsiasi altra implementazione linguistica? E se no, perché no?

    
posta Ian Purton 08.10.2011 - 18:08
fonte

2 risposte

6

AES è una specifica che può essere implementata in qualsiasi linguaggio di programmazione.

Se stai pensando di fare la crittografia in JavaScript per evitare l'uso di https, questo non sarà sicuro: la trasmissione del file HTML o di qualsiasi JavaScript incluso tramite una connessione http consente a un utente malintenzionato di modificarlo. Quindi, oltre a fare la crittografia, può inviare le informazioni non crittografate a un altro server.

    
risposta data 08.10.2011 - 20:25
fonte
5

"Implementare l'AES" significa produrre il testo cifrato preciso che lo standard richiede per un dato testo in chiaro e una chiave; stiamo parlando di valori esatti, fino all'ultimo bit, quindi la risposta generale alla tua domanda è: sì, è "sicuro" come se fosse implementato con qualsiasi altra lingua.

Il paragrafo precedente riguarda "sicuro" se applicato al protocollo , cioè nella vista di un utente malintenzionato che osserva cosa viaggia sui fili. C'è un altro significato di "sicuro", quando applicato specificamente alle implementazioni : è la capacità dell'implementazione di non divulgare le informazioni chiave a un utente malintenzionato che ha accesso fisico (o assolutamente logico) all'hardware . Un'implementazione Javascript viene eseguita nel browser Web e non può nascondere nulla a chi ha accesso al browser Web e, in particolare, alle sue funzionalità di "script di debug". Ma un'implementazione basata su C non può proteggersi da un tale aggressore locale; quindi questa nozione probabilmente non è quella che stai usando.

    
risposta data 08.10.2011 - 18:20
fonte

Leggi altre domande sui tag