Vorrei sapere se posso utilizzare PGP per garantire la riservatezza dei servizi Web SOAP? Non voglio usare SSL, è una specie di meccanismo lento per creare un tunnel per una transazione di dati ad alto throughput. Se ho dati cifrati usando una chiave simmetrica, la chiave sarà crittografata da una chiave pubblica asimmetrica. E spingere il messaggio nella rete, solo il destinatario previsto può leggerlo. È un buon modello per i servizi web?
Qualsiasi aiuto sarà molto apprezzato. Saluti
SSL sarà più veloce di SOAP + PGP. Crittograficamente, sia SSL che PGP sono sistemi ibridi che utilizzano la crittografia a chiave pubblica per proteggere le chiavi di sessione simmetriche. In pratica, SSL è stato ottimizzato dal lato client e server per fare ciò che sta facendo rapidamente, PGP non è stato ottimizzato per questo caso. E dovrai calcolare il meccanismo di distribuzione e fiducia delle chiavi se pubblichi il tuo metodo PGP.
Fare la propria crittografia avrà i vantaggi di proteggerlo dai soliti casi - proxy MITM, decrittazione dell'acceleratore.
Senza saperne di più sulla tua app, è difficile da dire, ma nella maggior parte dei casi, non vale la pena seguire la tua strada. SSL offre una buona sicurezza per l'applicazione media.
PGP / GPG generalmente non viene utilizzato per i servizi Web. Si basa su chiunque stia comunicando di avere la chiave pubblica di chi sta comunicando. Nei servizi web questo non è generalmente garantito. Quindi, a seconda del tipo di servizio che stai fornendo, potrebbe non essere l'ideale.
Se stai cercando di fornire solo servizi a un gruppo selezionato di persone allora dovresti assicurarti di avere un server delle chiavi configurato, tutti gli utenti dovrebbero generare / avere le chiavi PGP / GPG, tutti gli utenti avrebbero per caricare tali chiavi sul server delle chiavi e l'applicazione dovrebbe fornire i mezzi per configurare il server delle chiavi da utilizzare.
A mio parere, non vale la pena di usare PGP / GPG invece di SSL / TLS. Qualsiasi tipo di lentezza si potrebbe pensare SSL / TLS ha è fatto con facilità d'uso e accessibilità. E in tutta onestà, non è davvero lento. C'è un motivo per cui la maggior parte delle applicazioni lo usa per la sicurezza basata sul Web.
Direttamente dalla pagina Wikipedia di SOAP
SOAP may also be used over HTTPS (which is the same protocol as HTTP at the application level, but uses an encrypted transport protocol underneath) with either simple or mutual authentication; this is the advocated WS-I method to provide web service security as stated in the WS-I Basic Profile 1.1.
SSL è già incluso nella maggior parte delle librerie in modo nativo, quindi la differenza tra un servizio web in chiaro e la versione SSL è trascurabile in termini di sviluppo su entrambi i lati. Se il client fa uso di connessioni persistenti o riutilizza la sessione SSL, la negoziazione tra client e server è ancora più leggera e veloce. Il processo di autenticazione è più semplice utilizzando un'autorità di certificazione ben nota, quindi non è necessario scambiare le chiavi. Inoltre, esistono acceleratori SSL che utilizzano componenti specifici dell'hardware per ridurre il carico della CPU.
Leggi altre domande sui tag pgp confidentiality web-service