🦾 IT-Качалка Давида Шекунца 💪

2021-12-25 11:16

💬 Друзья, у меня к вам есть вопрос: кто-нибудь решал проблему подписей запросов симметричным / асимметричным шифрование?

Товарищи разрабатывают сервис денежных транзакций и выбрали HMAC (симетричное шифрование, где общий с клиентом ключ хранится с обоих сторон), но если хранилище секретов утечет – всему залупа

Хочется понять: стоит ли забить хрен и просто обезопасить хранилище секретов, или лучше воспользоваться каким-нибудь ассиметричным шифрованием

Есть идеи?

Комментарии: 20

S Dmitry

2022-01-01 01:56

А ssl нет?

🦾

🦾 IT-Раздевалка 💪

2022-01-12 16:06

Не очень представляю как полноценно организовать в данной ситуации ssl. Имеется ввиду, выписывать и проверять самостоятельно сертификаты на каждый запрос от клиента?

Если что, решение нашлось решение, я его в следующем посте напишу

S Dmitry

2022-01-12 16:30

Ssl же проверяет сертификат один раз, а потом используется симметричный ключ сессии.

🦾

🦾 IT-Раздевалка 💪

2022-01-12 16:32

Я просто не совсем понимаю на каком уровне и чем будет проверяться ssl сертификат

S Dmitry

2022-01-12 16:38

Ну вы же пользуетесь каким-то транспортным протоколом.

🦾

🦾 IT-Раздевалка 💪

2022-01-12 16:46

HTTP

S Dmitry

2022-01-12 16:58

Почему тогда не использовать HTTPS?

🦾

🦾 IT-Раздевалка 💪

2022-01-12 17:00

Имеется ввиду, HTTPS

Мне кажется, мы о разных проблемах говорим: задача требует подписи тела запросов, а не только самих запросов. Для этого решили использовать HMAC, но поскольку он симетричный его придется делать под каждого клиента и хранить это где-то у себя, но вопрос был в том, как это сделать секурно. Об этом я расскажу в следующем посте

S Dmitry

2022-01-12 17:02

Вам надо скрыть данные от серверного кода? Зачем повторно шифровать то, что уже зашифрованно?

🦾

🦾 IT-Раздевалка 💪

2022-01-12 17:04

Для того, чтобы убедиться, что нам отправляет запрос именно тот, от кого мы его ожидаем

Лучше всего на ваш вопрос ответит описание HMAC (https://ru.wikipedia.org/wiki/HMAC), большинство API, производящие транзакции (Stripe, Яндекс, Тинькофф, etc.) используют именно его формирования подписи при запросе на транзакцию

S Dmitry

2022-01-12 17:06

Когда вы устанавливаете соединение с сервером, то он может проверить сертификат клиента. Это и будет проверкой, что клиент тот, что нужно.

🦾

🦾 IT-Раздевалка 💪

2022-01-12 17:07

Получается, вы предлагаете выпускать сертификаты под клиентов и самостоятельно проверять, что это именно те сертификаты, которые выпустили мы?

S Dmitry

2022-01-12 17:08

Если у клиентов нет своих сертификатов, то да.

S Dmitry

2022-01-12 17:09

В запросе будет identity клиента и его можно проверить.

🦾

🦾 IT-Раздевалка 💪

2022-01-12 17:11

Теперь понял)

🦾

🦾 IT-Раздевалка 💪

2022-01-12 17:11

Вот как раз следующий вопрос: как на уровне кода мы увидим, что это тот самый клиент с тем самым сертификатом?

S Dmitry

2022-01-12 17:12

В транспортном протоколе есть identity клиента. Это может быть сертификат. И вы можете напимер проверить, что сертификат выдан вами.

S Dmitry

2022-01-12 17:14

Я пользовался wcf , там такое есть. Думаю, что везде есть.

S Dmitry

2022-01-12 17:18

Вам надо к ресурсу на сервере давать доступ конретному пользователю? Тогда можете хранить на сервере thumbprint ключа конкретного пользователя.

S Dmitry

2022-01-12 17:19

Или в самодельном сертификате, который вы датите пользователю, заполните какое-то поле его именем. И проверяйте имя на сервере.

Add your comment +