我有一个从客户端到服务器的https连接以及客户端中的恶意软件。恶意软件会修改消息并危及其完整性。在恶意软件更改消息之后以及通过Internet将其发送到服务器之前,我使用代理检查消息的完整性。
现在,我如何检查消息的完整性(确保它没有被中间的任何人修改)用于我的通信通道的后半部分(通过互联网从客户端到服务器)。
我看到很少有CRC或Checksum的传统方法会有所帮助。但我正在寻找一些非传统或即将到来的方法。我是这个领域的新手,想要就我搜索问题答案所需的方向采取专家建议。
任何指针都会有很大的帮助。
谢谢,
答案 0 :(得分:2)
正如我在other question中提到的,如果您有https会话,则无法执行此操作。
如果你能做到,你的代理可能就是“中间人”,即exactly what SSL is designed to prevent。
此外,目前还不清楚您希望客户端的恶意软件如何更改消息 - 您的软件可以在通过SSL发送消息之前始终验证消息,并且在发送消息之后,唯一应该能够解码的消息它是服务器。
我强烈建议花一些时间了解特定的知名客户端服务器安全模式,而不是尝试发明自己的(或试图破解SSL)。一个很好的起点就是在http://security.stackexchange.com上挑选一些问题。 (个人最喜欢有this关于如何进行密码安全的问题。可能会有一些问题/链接可以通过那里来了解有关客户端 - 服务器安全性的更多信息(并最终理解为什么我对您正在尝试做的事情感到困惑)。
如果由于某种原因需要自己编写,那么可能(但仍然有足够的决定)可以进行验证的方法是根据所有值包含校验和/哈希码,并确保相同的校验和可以从值生成服务器端。你不需要一个“中间”以某种方式破解SSL来做到这一点 - 只需在服务器端进行验证。