Utilizzando l'autenticazione reciproca, dovrei ancora preoccuparmi dell'integrità dei messaggi e dell'attacco di riproduzione?

1

Sto cercando di proteggere un'API REST, la nostra situazione è che ogni client che si collega a questa API avrà anche un certificato firmato dalla nostra CA. Per questo motivo, penso che possiamo usare il certificato client come meccanismo di autenticazione e installare il nostro certificato di root sul server web per la verifica e quindi utilizzare l'autenticazione reciproca tramite HTTPS. Intendiamo farlo con nginx, quindi è semplice come richiedere a nginx di avere la verifica del client. Tuttavia, non sono sicuro se debba ancora firmare il timestamp e firmare ogni richiesta, dovrei ancora preoccuparmi dell'integrità dei messaggi e dell'attacco di riproduzione? C'è qualche altro attacco di cui dovrei fare attenzione?

    
posta nullgraph 25.02.2016 - 01:07
fonte

2 risposte

0

Dato che SSL garantisce che il canale di comunicazione sia protetto sia da manomissioni che da snooping, non è necessario fare di più per garantire la riproduzione e l'integrità dei messaggi.

Questo presuppone che tu stia facendo un'autenticazione sicura convalidando il certificato del cliente, assicurandoti che non sia stato revocato e non sia scaduto, sia abbinato all'utente corretto, ecc ...

    
risposta data 25.02.2016 - 01:38
fonte
0

Sì, puoi usare i certificati per l'autenticazione reciproca. Ciò consente di ottenere il controllo dell'integrità, l'autenticazione e la crittografia in transito gratuitamente, purché il certificato sia convalidato su ciascuna connessione.

Tuttavia, quando dici protezione dagli attacchi di riproduzione, a livello di applicazione, dovresti comunque eseguire i controlli necessari per la riproduzione dei messaggi.

    
risposta data 25.02.2016 - 02:39
fonte

Leggi altre domande sui tag