API Security - Mutuo TLS vs TLS con segreto condiviso.

1

Quando si imposta la sicurezza per l'integrazione dell'API Business to Business. Siamo in discussione 2 opzione

  • TLS reciproco con filtro IP
  • TLS con segreto condiviso e filtro IP.

Qual è l'approccio più sicuro e che cosa fa la differenza potenziale?

La mia comprensione è, in entrambi i casi, la connessione iniziale protegge i dati, quindi il segreto condiviso o il secondo certificato conferma l'identità (in una certa misura).

Ci sono dei potenziali benefici in entrambi i modi? Sembra che il mutuo TLS possa essere più difficile da implementare. L'unico vantaggio che posso pensare con il Mutual TLS è la possibilità che il certificato scada e venga revocato.

Sto cercando di capire la differenza nei potenziali attacchi.

    
posta user1605665 27.04.2018 - 03:01
fonte

1 risposta

2

Entrambi possono essere sicuri, quindi i potenziali attacchi non sono la cosa principale qui.

Le differenze sono nell'identità e nella gestione delle chiavi.

Con PSK (chiave pre-condivisa) ottieni solo l'ID della chiave per il client, non un certificato con attributi X.500 come il nome comune. Quindi per identificare l'identità è necessario collegare le informazioni già note all'ID della chiave.

Con PSK condividi una chiave segreta tra client e server. Ma se ci sono più client o più server, è necessario condividere le chiavi tra molte entità. Con i certificati, ovvero l'infrastruttura a chiave pubblica (PKI o PKIX) creata utilizzando i certificati, è sufficiente disporre di una chiave segreta (o piuttosto privata) per entità. La chiave pubblica può essere considerata affidabile se fa parte di un certificato in una catena di certificati, quindi non è necessario distribuire le chiavi pubbliche.

Come hai già indicato ci sono molte altre opzioni di gestione delle chiavi per i certificati.

Uno svantaggio dell'uso di certificati è che il certificato del server di solito è necessario per includere il nome del server e la connessione potrebbe non essere stabilita su host con nomi diversi.

Per business to business farei sicuramente l'autenticazione client / server usando i certificati. Questa è l'opzione più comune e più flessibile. Assicurati di avere solo quei certificati richiesti (e non tutti i certificati considerati attendibili da un archivio sicuro predefinito).

    
risposta data 27.04.2018 - 03:23
fonte

Leggi altre domande sui tag