Puoi usare Https per provare che il documento è stato inviato dal dominio?

Naviga le tue risposte
0

Sono consapevole che puoi utilizzare strumenti come GPG per crittografare e firmare le informazioni.

Tuttavia HTTPS sembra essere utilizzato solo per la crittografia. Il browser mi mostra che la connessione è sicura, ma non c'è modo che io sappia se per me salvare una pagina per dimostrare che il dominio X ha inviato il contenuto Y in Z time

Suppongo che sia una teoria possibile. Se in qualche modo hai memorizzato il valore generato dai browser e l'handshake SSL e i dati inviati. La mia comprensione è corretta?

Ci sono strumenti per farlo?

Per lo sfondo pensavo che sarebbe stato utile archiviare tweet di personaggi pubblici e aziende in un formato che fosse verificabile nel caso in cui venissero successivamente cancellati. Gli screenshot sono comunemente usati ma non sono verificabili.

    
posta Jeremy French 12.06.2018 - 01:36
fonte

1 risposta

3

I dati dell'applicazione all'interno di TLS sono crittografati con una chiave nota sia al client che al server. I dati dell'applicazione sono crittografati e protetti dall'integrità solo da un HMAC ma non sono firmati dal server. Ciò significa che il client potrebbe prendere un handshake TLS esistente con il server e utilizzare la chiave scambiata da questa stretta di mano per crittografare i dati desiderati. Poiché i dati dell'applicazione non sono firmati dal server, non ci sarà modo per una terza parte di verificare se questi dati sono stati effettivamente inviati dal server o se il client ha falsificato questi dati.

    
risposta data 12.06.2018 - 04:19
fonte

Leggi altre domande sui tag

Come evitare le vulnerabilità XML in Python? Linux incorporato: la rimozione di SSH da sola è sufficiente per garantire la sicurezza del file system?