能力值:
( LV4,RANK:50 )
|
-
-
2 楼
master key如何产生的可以参看https握手协议
人为输入太麻烦了 现在都是根据算法自动生成的
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
人工输入麻烦,但是感觉更安全,毕竟自动生成的非开源的很不安全,要是留下了后门的话
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
算法自动生成谁知道闭源是真的假的自动生成呢
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
你看过SSL/TLS握手协议么?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我的理解,https的非对称加密是用于服务器端证明自己的真实性的,而客户端通过提供用户名、密码的方式来证明自己的真实性,双方互验真身,这是必须的,所以LZ所说“用户自己输入密码”其实是必须的,用途既是验证客户端。
用于传输的AES256,我认为人为输入并不好,但不是不行,本质上也是做在浏览器内核里面,但想不出有什么意义,它只是负责信道加密,随不随机有什么关系?
|
能力值:
( LV3,RANK:30 )
|
-
-
7 楼
AES密钥 master key 是握手的时候随机产生的,必要的时候通过协议可以更换。SSL协议里面有说明。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
不随机的话那密钥每次安全密钥都一样了,这样不安全
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
看过,对于对称密钥生成保持怀疑
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
你在怀疑什么
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
额,就在主密钥那边生成做手脚啊,提供个自己生成主密钥的接口不就更安全么
|
能力值:
( LV4,RANK:50 )
|
-
-
12 楼
对于master key 本地和服务器是一模一样的 浏览器做手脚了就不能通信了
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
关键一开始master key是用公钥加密后再给服务器,服务器一开始并没有
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
你确定你看过SSL/TLS握手协议?
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
确定,要么就是我忽略了细节,麻烦指点
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
本地随机生成 对称算法 密钥,使用非对称算法 公钥加密。 服务器使用私钥解密获取对称算法 的密钥作为 通讯密钥。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
Open SSL 中的有大量加密算法,并且开源。很多软件都直接拿来用了。
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
你没理解我的意思,就是出现随机生成变成非随机,有人为改动了。。。。。。或者程序出现bug,随机性不够安全就这个意思。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
你完全没理解这样的意图。
人为输入和 随机有什么区别。你这不是闲得蛋疼吗?
对于。人为输入。怎么变为256位密钥?这种问题也还需要问吗?
很明显。楼主连怎么使用AES算法都不清楚!
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
既然程序出现BUG。那还谈毛啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
很明显人为只要产生对称密钥,具体256位是程序自动根据人为输入密钥自动生成256的位,而不是由某个非人知道的自动程序产生对称密钥!!!!这个就像你为啥要用usbkey,为啥支付宝会有专门调用usbkey对称密钥的功能(仅支持工行)
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
mark,
|
|
|
|
