Hi Leute, ich wollte, nachdem ich nun schon eine ganze Weile mich mit Verschlüsselung befasse, nachfragen ob mein Konzept einigermaßen Sicher ist, oder ich etwas grundlegend falsch mache.
Anfangen wird das Ganze mit dem Verbindungsaufbau eines Clients zum Server. Daraufhin bekommt der Client einen zwischen 3128 und 8192 Bit starken public RSA Schlüssel, mit dem der Client sein 200 Zeichen langes, aus zufälligen Buchstaben bestehendes, AES Passwort übermittelt. Jedoch habe ich hier bedenken, dass jemand, der es schaffen sollte, von Anfang an, zu lauschen, den Schlüssel abfängt, und selbst einen erstellt, und so das AES Passwort abfangen kann. Was kann ich dagegen tun?
Weiter geht es dann damit, dass der Client einen für den Rechner spezifischen String abschickt, der in der Datenbank abgefragt wird, um sicher zu gehen, dass es auch jemand ist, der auf den Server zugriff hat. Erst dann erfolgt eine wirkliche Kommunikation.
Des weiteren besteht die Frage ob ich im Umgang mit der Datei im Anhang noch etwas beachten muss, oder ob ich einfach so damit Arbeiten kann? Kann ich wirklich davon ausgehen, das beim Decrypten erkannt wird wann eine Nachricht manipuliert wurde?
Anfangen wird das Ganze mit dem Verbindungsaufbau eines Clients zum Server. Daraufhin bekommt der Client einen zwischen 3128 und 8192 Bit starken public RSA Schlüssel, mit dem der Client sein 200 Zeichen langes, aus zufälligen Buchstaben bestehendes, AES Passwort übermittelt. Jedoch habe ich hier bedenken, dass jemand, der es schaffen sollte, von Anfang an, zu lauschen, den Schlüssel abfängt, und selbst einen erstellt, und so das AES Passwort abfangen kann. Was kann ich dagegen tun?
Weiter geht es dann damit, dass der Client einen für den Rechner spezifischen String abschickt, der in der Datenbank abgefragt wird, um sicher zu gehen, dass es auch jemand ist, der auf den Server zugriff hat. Erst dann erfolgt eine wirkliche Kommunikation.
Des weiteren besteht die Frage ob ich im Umgang mit der Datei im Anhang noch etwas beachten muss, oder ob ich einfach so damit Arbeiten kann? Kann ich wirklich davon ausgehen, das beim Decrypten erkannt wird wann eine Nachricht manipuliert wurde?