gpt4 book ai didi

java - 通过 JAVA DataOutputStream 发送 key

转载 作者:行者123 更新时间:2023-11-30 06:15:34 24 4
gpt4 key购买 nike

我正在开发一个使用对称 key + RSA 的 FTP 工具。我想通过 dataoutputstream 将我的 key 发送到服务器。我该怎么做?我试着跟随,

客户:

 SecretKey secretKey = en_de_cryptor.returnSecretKey();
String encodedKey = Base64.encode(secretKey.getEncoded());
dout.writeUTF(secretKey.toString());

服务器:

String secretKey = din.readUTF();
byte[] decodedKey = Base64.decode(secretKey);

但是我无法获取解码 key 。我该如何解决这个问题并在服务器端获取 key 。

最佳答案

正如大多数其他人所指出的那样,您遇到了一个问题,即您以明文形式发送非对称 key 的最重要部分,其中 key 可以被拦截。当然,您可以加密 key ,但这会引入其他需要解决的加密问题。如果使用对称加密算法来加密 key ,则需要解决 key 协议(protocol)问题。每一方将如何以安全的方式就 key 达成一致,以使第 3 方无法拦截它?

在某种程度上,您正在重新解决 SSL 已经解决的问题。为什么不直接使用它呢? SSL 也经过了实战测试,安全专家已经研究了 25 年。开发自己的版本意味着您可能会陷入 SSL 开发人员已经遇到过的类似陷阱。

但是,如果您必须重新实现,您将需要更改您的算法。保护私钥最安全的方法是首先永远不要通过网络发送它。非对称加密允许您在客户端和服务器之间交换消息,而不会出现对称算法存在的 key 协商问题。

这是一个可以绕过 key 协商问题的算法:

  1. 让服务器生成一个非对称 key 。两种选择:
    1. 一次性生成一个非对称 key (即在服务器启动时),所有连接都使用相同的 key 。
    2. 在连接时为每个客户端生成一个非对称 key ,使其更加安全。
  2. 当客户端连接时将服务器的公钥传送给客户端
  3. 客户端将为对称算法生成一个 key (你如何选择算法?SSL 也解决了这个问题)。
  4. 客户端使用服务器的公钥加密这个 secret key
  5. 客户端将加密的 key 传输到服务器。
  6. 服务器使用其私钥解密消息以获得对称 key 。
  7. 现在服务器和客户端可以使用对称加密交换任何加密消息,而第三方无法窃听。

虽然即使您这样做了,您仍然会受到中间人攻击,第 3 方监听器可能会在客户端交易消息时欺骗客户端和服务器通过第 3 方发送未加密的数据与客户端和服务器。只是一个简单的例子,说明如何自己实现这些东西可能会导致您创建比仅使用 SSL 更不安全的东西。

如果您确实要发送加密的有效载荷,您将希望放弃 DataInputStream 并使用直接的二进制流,这样您就不需要使用 Base64Encoding 将二进制有效载荷转换为 UTF 字符串。

关于java - 通过 JAVA DataOutputStream 发送 key ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28520158/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com