Если используется SSL с обязательной проверкой сертификатов обеих сторон, то зачем подписывать сообщения (ЭЦП)? От какой атаки это защитит, чтобы нагружать еще и вычислением этой самой подписи сервер?
Здравствуйте, techgl, Вы писали:
T>Если используется SSL с обязательной проверкой сертификатов обеих сторон, то зачем подписывать сообщения (ЭЦП)? От какой атаки это защитит, чтобы нагружать еще и вычислением этой самой подписи сервер?
А что значит "подписывать сообщение"? Это что, некая дополнительная операция? Или сообщение, которое передается через SSL, имеет подпись как частть данных?
Здравствуйте, den123, Вы писали:
D>А что значит "подписывать сообщение"? Это что, некая дополнительная операция? Или сообщение, которое передается через SSL, имеет подпись как частть данных?
Имеется в виду, что подписываются дополнительно данные, которые потом передаются внутри пакетов через SSL. Мне кажется это избыточным, ибо SSL сам по себе обеспечивает безопасность канала передачи данных, а цифровая подпись создавалась для передачи данных по каналу, которому не доверяем.
Здравствуйте, techgl, Вы писали:
T>Здравствуйте, den123, Вы писали:
D>>А что значит "подписывать сообщение"? Это что, некая дополнительная операция? Или сообщение, которое передается через SSL, имеет подпись как частть данных? T>Имеется в виду, что подписываются дополнительно данные, которые потом передаются внутри пакетов через SSL. Мне кажется это избыточным, ибо SSL сам по себе обеспечивает безопасность канала передачи данных, а цифровая подпись создавалась для передачи данных по каналу, которому не доверяем.
Если не принимать во внимание каким образом обрабытвается принятый пакет, то Вы абсолютно правы — это излишне.
Однако, возможно, что при обработке пакета проверяется целостность данных и кто его создал/подписал. Например передали файл от А к Б, а файл должен быть создан некиим В и должен быть подписан. Приняв файл можно быть уверенным, что общались А и Б (это обеспечивает SSL). Теперь надо проверить создателя и не испорчен ли файл. Файл мог быть испорчен не при передаче, а на одной из сторон, что SSL конечно проверить не может.
Впрочем это мои предположения. Возможно я ошибаюсь...
Здравствуйте, den123, Вы писали:
D>Впрочем это мои предположения. Возможно я ошибаюсь...
У меня просто RPC, подписывается каждый вызов процедуры. Я считаю что при SSL это лишнее.
Здравствуйте, techgl, Вы писали:
T>Здравствуйте, den123, Вы писали:
D>>Впрочем это мои предположения. Возможно я ошибаюсь... T>У меня просто RPC, подписывается каждый вызов процедуры. Я считаю что при SSL это лишнее.
Конечно лишнее. Подпись имеет смысл при передаче по незащищенному каналу. SSL — защищенный канал.
Здравствуйте, techgl, Вы писали:
T>Если используется SSL с обязательной проверкой сертификатов обеих сторон, то зачем подписывать сообщения (ЭЦП)? От какой атаки это защитит, чтобы нагружать еще и вычислением этой самой подписи сервер?
Например, при отправке информации из системы A в систему B, когда они интегрированы не напрямую друг с другом, а через системы-посредники (например, ESB или MOM), то есть смысл шифровать само сообщение, т.к. SSL защитит только на участках A<->Mediator и Mediator<->B, а посредники увидят сообщение незашифрованым.
Схема такая:
A <---SSL---> Mediator1 <--- ????? ---> MediatorN <---SSL---> B
