C'è qualche vantaggio nella crittografia dei messaggi con PGP che saranno trasmessi su SSL a un server REST?

3

Ci sarebbe qualche vantaggio nel crittografare un messaggio usando PGP prima di inviarlo a un server REST su SSL, oppure è completamente ridondante e uno spreco di tempo di elaborazione?

Ad esempio, l'SSL di un server potrebbe essere configurato in modo così debole che un intruso potrebbe sniffare i pacchetti e leggere i messaggi in testo semplice - a quel punto la crittografia dei messaggi con PGP fornirebbe una protezione sicura a questo?

Chiedo perché ho iniziato a giocare con un server socket python, in cui stavo crittografando tutti i messaggi con PGP, ma ora voglio farlo su un server REST, e ho capito che lo farei comunque su SSL.

    
posta Matthew Moisen 29.03.2016 - 22:49
fonte

2 risposte

2

No, PGP non è necessario se SSL è impostato correttamente. Ovviamente, "aggiungerà più sicurezza", ma il vantaggio non supererà la seccatura di crearlo.

Se un agente malevolo in mezzo sarebbe in grado di decifrare il traffico (MITM, ...), potresti anche chiedertelo se qualcuno potrebbe accedere all'ambiente dell'applicazione web e utilizzare la chiave privata della tua coppia di chiavi generata per decrittografare traffico.

Se si desidera che la connessione sia autenticata, è sempre possibile emettere certificati lato client ed eseguire l'autenticazione reciproca; questo ti darà riservatezza e integrità dei dati. Ed è molto più semplice dell'implementazione di PGP in un client / app web.

    
risposta data 30.03.2016 - 00:15
fonte
1

Sì, ma non principalmente dall'aspetto del traffico che viene annusato. Se il server REST archivia temporaneamente i dati crittografati PGP, tali dati vengono successivamente "trascinati" su un server più sicuro in un'area più sicura (possibilmente dietro un firewall che non consente le connessioni in entrata dal server meno sicuro). I dati potrebbero quindi essere decifrati su un server che non consente connessioni in entrata o in uscita su Internet (o qualsiasi altra rete di cui si è interessati). Questa architettura ridurrebbe radicalmente la superficie di attacco relativa al sistema in cui sono archiviati i dati (a differenza dei dati decrittografati che si trovano su un sistema direttamente connesso a Internet). Ciò è particolarmente utile se entrambi i lati della comunicazione sono disciplinati sull'implementazione di questo stesso processo da entrambe le parti.

Fondamentalmente può essere visto come un ulteriore livello di difesa in profondità "se" implementato correttamente. Nota: questo serve anche come ulteriore livello di difesa in profondità durante il processo di trasmissione.

    
risposta data 30.03.2016 - 01:07
fonte

Leggi altre domande sui tag