Devo usare SSL in un servizio di condivisione file protetto?

1

Sto sviluppando un progetto di condivisione file protetto usando Java RMI. Il contenuto dei file deve essere protetto. Il server memorizzerà i file crittografati e il client sarà in grado di caricare / scaricare / elencare i file (con autenticazione tramite password). Sono nuovo per la sicurezza e apprezzerei qualsiasi ulteriore misura di sicurezza che potrei implementare / correggere.

In questo momento sto pensando di utilizzare la crittografia sui file / password / metadati per trasportarli dal client al server. Una volta raggiunto il server, memorizzerei i file crittografati e decifrerei le password, così potrei memorizzare le password SHA256 / SHA512 nel database. (Ha senso?)

Ora ho sentito parlare di SSL che crittografa il contenuto dei pacchetti inviati e ricevuti (se non sbaglio) e fornisce un qualche tipo di autenticazione.

È necessario aggiungere SSL (o sostituirlo con SSL invece di quello che ho idealizzato) nel mio caso?

Grazie.

    
posta João Rodrigues 11.10.2014 - 16:02
fonte

3 risposte

1

Oh, Dio si. Prima di tutto, SSL utilizza Diffie-Helfman, il che significa che gli aggressori non possono ascoltare i client che negoziano le chiavi di crittografia con il server (ovviamente, se annusano la chiave, questo potrebbe rovinare il punto di crittografia delle comunicazioni). In secondo luogo, utilizza un sistema CA, che rende molto difficile agli hacker imitare il server sul client (proteggendo così la password quando il client tenta di autenticarsi). Entrambi questi protocolli sono difficili da implementare correttamente e consiglio vivamente di farli fare ai professionisti.

    
risposta data 11.10.2014 - 16:20
fonte
1

Sì, utilizza SSL per proteggere il canale di trasporto su cui stai consegnando i file. Crypto è difficile e non dovresti mai provare a implementare il tuo. Per ulteriori informazioni su esattamente ciò che SSL è, vedere: Come funziona SSL / TLS?

    
risposta data 11.10.2014 - 16:07
fonte
0

Sì alla tua domanda SSL come è stato risposto sopra. Tuttavia, vorrei suggerire per l'archiviazione delle password che si considera l'utilizzo di bcrypt in contrasto con SHA512. È più lento calcolare l'algoritmo in modo che le tue password siano più difficili da decifrare se gli hash vengono scaricati.

    
risposta data 12.10.2014 - 01:24
fonte

Leggi altre domande sui tag