Transport Layer Encryption vs. Application Layer Encryption

Naviga le tue risposte
4

Qualcuno può dirmi le differenze chiave tra la crittografia del livello di trasporto e la crittografia del livello dell'applicazione e i casi di utilizzo di esempi di massima in cui sono più appropriati?

La ricerca che ho fatto finora è che il livello Application cripta tutto, poiché l'applicazione è al più alto livello nel modello OSI. In confronto, la crittografia del livello di trasporto significa che i livelli di applicazione, presentazione e sessione sono tutti in testo normale?

Ho dato un'occhiata a questo post prima. Le risposte nel post hanno praticamente detto che dipende da cosa stai cercando di proteggere, dato che non sto progettando nulla in particolare, non è stato di grande aiuto per capirlo. Sto davvero cercando i pro e i contro per entrambi e forse un'analogia o almeno un contesto in cui ognuno dovrebbe / dovrebbe essere usato?

    
posta TommyCooper 28.04.2016 - 23:28
fonte

1 risposta

5

Questa è una domanda sull'ambito e sull'interazione dell'applicazione. Quindi, dove uno è migliore dell'altro dipende dalla portata dell'accesso dei dati.

Con il livello di applicazione crittografato, i dati sono visibili solo nello spazio di memoria delle applicazioni. Se questo è ciò di cui hai bisogno, la crittografia a livello di applicazione è la strada da percorrere. Tuttavia, quando vengono inviati a un'altra applicazione, tali informazioni sono crittografate e non possono visualizzarle. Ciò è utile nei token Web JSON in cui il server crittografa e decodifica le informazioni per controlli e saldi impedendo al contempo che altri livelli del modello OSI possano modificarlo.

La crittografia dei livelli di trasporto è simile a TLS / SSL / SSH e simili. È dove lo si cripta nel trasporto in modo che le persone non possano ascoltarlo a meno che non accedano alla memoria condivisa sulla macchina che rilascia le informazioni. Questo è utile per inviare l'input dell'utente a un server che non ha bisogno di essere crittografato, ma continuando a farlo vedere in una pagina web.

Per condensare queste spiegazioni un po 'oltre:

  • La crittografia del livello applicazione deve essere utilizzata quando Nulla deve avere accesso ai dati anche sulla stessa macchina.

  • La crittografia del livello di trasporto dovrebbe essere utilizzata quando non vuoi che le persone ascoltino i dati quando sono in trasporto e non più sulla macchina su cui è stato creato.

Ora ho menzionato un esempio di sito web in precedenza e questo è il modo perfetto per pensarci poiché tutti i modelli OSI si applicano a quello sul lato server.

I siti web sono dati e nel trasporto se contengono informazioni specifiche dell'utente devono essere crittografati ma dovrebbero comunque essere visualizzati in grado all'utente quando la pagina viene nuovamente visualizzata sul livello applicazione sul loro lato. È qui che si verifica la crittografia del livello di trasporto.

Tuttavia, per proteggersi dagli attacchi quando un utente sta inviando informazioni, spesso include un controllo sotto forma di token Web JSON o cookie / campo CSRF che non è visualizzabile dal client ed è crittografato nel livello applicazione in modo tale che nessun altro può vederlo o modificarlo. Quindi se è lo stesso quando ritorna e le informazioni al suo interno vengono controllate, sanno che è ancora valido e possono onorarlo sul lato server.

    
risposta data 29.04.2016 - 00:22
fonte

Leggi altre domande sui tag

Revoca delle chiavi di firma: funzionano ancora dopo? Si tratta di un metodo sicuro per l'impostazione dinamica di X-Frame-Options? (più domini)