Stiamo lavorando a un progetto scolastico che gestisce le informazioni sensibili (un gestore di password) che transitano tra un client che crittografa i dati e un server che non sa nulla dei dati. Per ottenere i dati, il client deve autenticarsi tramite un nome utente / password e ottenere un token generato casualmente.
Sarà un'app ospitata autonomamente e il nostro obiettivo è avere qualcosa di sicuro anche se l'utente non si preoccupa di usare HTTPS. Quindi vogliamo essere sicuri che se qualcuno ha spiato il token, non sarebbe in grado di usarlo.
Pensavamo di poter utilizzare un messaggio firmato tramite OpenPGP, ma questo significa che ogni messaggio deve essere diverso e che i dati meno recenti devono essere archiviati sul lato server in modo che l'attacco di riproduzione non possa essere utilizzato.
Questa idea non è chiaramente la migliore. Qualcuno ne ha uno migliore?