Mixing Off-The-Record e SSL classico

4

Sto sviluppando alcuni sistemi pubsub su Node.js e Socket.io. Ho deciso di implementare la crittografia Off-The-Record (OTR) per impostazione predefinita per tutti i trasferimenti di dati tra client e server. La domanda è: ho bisogno di collegare in aggiunta i certificati classici per essere sicuro che anche le richieste dell'ODR vengano crittografate?

Se sarà una buona idea collegare sia OTR che SSL, che cosa è necessario coprire con altri? Voglio dire, ho bisogno di crittografare il traffico prima con CERT e poi inviarlo tra i client usando OTR per proteggerlo due volte o ho bisogno di usare OTR prima e quindi criptare tutto il traffico con e possibilmente senza OTR (come richieste di handshake e altro come che)?

    
posta John Smith 17.07.2016 - 02:51
fonte

1 risposta

1

Question is do I need to additionally connect classic certificates to be sure even OTR ask queries will be encrypted?

Se implementi OTR correttamente usando libotr o le specifiche , non hai trattare con i certificati classici di PKI. OTR opera utilizzando il modello TOFU , con la possibilità di optare per la verifica dell'impronta digitale di un altro tramite un canale esterno.

If it will be good idea to connect both of OTR and SSL, what one must cover other?

TLS opera sulla parte superiore del livello TCP. Qualsiasi traffico TCP arbitrario può essere crittografato utilizzando TLS, poiché è completamente indipendente dal formato. OTR d'altra parte è progettato per crittografare caratteri stampabili e convertirlo in ASCII semplice. Non è nemmeno possibile inserire OTR su TLS, poiché OTR prende il testo come input e sputa ASCII base64 come output. Fai in modo che TLS codifichi lo stream OTR se lo fai.

    
risposta data 30.11.2017 - 04:16
fonte

Leggi altre domande sui tag