Come crittografare le comunicazioni senza la chiave hard coding nel client?

2

Ho trovato la descrizione della vulnerabilità qui .

The kankun smart socket device and the mobile app use a hardcoded AES 256 bit key to encrypt the commands and responses between the device and the app. The communication happens over UDP. An attacker on the local network can use the same key to encrypt and send unsolicited commands to the device and hijack it.

Quindi come dovrebbe essere fatto in modo sicuro, voglio dire come crittografare la comunicazione senza la chiave di hard coding nel client?

    
posta Marian Paździoch 01.03.2016 - 11:37
fonte

1 risposta

5

Si utilizza un protocollo di scambio di chiavi, come lo scambio di chiavi Diffie Hellman, che consente a ciascun lato della comunicazione di generare un numero casuale e derivare una chiave da quei numeri senza che un intercettatore sia in grado di trovare il risultato dai dati effettivamente scambiati .

In generale, l'uso di un protocollo peer-reviewed come SSL / TLS evita problemi come questo.

    
risposta data 01.03.2016 - 11:46
fonte

Leggi altre domande sui tag