【发布时间】:2015-12-21 08:54:21
【问题描述】:
我正在开发一个站点,我的日期在AES-256-OFB 中使用MySql 的功能进行了加密,这样我encrypt 和decrypt 在端到端,对吧?
如果是真的,除了SSL之外,如何解决Middle Man的攻击?这个有encryptions吗?
给我解释一下。我对安全几乎一无所知。帮我。谢谢大家。
【问题讨论】:
-
如果您开始加密插入到数据库中的数据而不是使用加密的文件系统,那么您将面临一个痛苦的世界
-
下面提到了TLS;用那个。如果您只是对 MITM 被挫败的机制感到好奇,一个简单的方法是正确使用消息验证码或 MAC。单独看到 OFB 的问题是伪随机流与纯文本进行异或。如果 MITM 想要更改最后一个块并且知道明文,他可以用该明文对加密进行 XOR,然后用他自己的明文再次 XOR。然后它会毫无错误地解密,说出他想说的话。 MAC 将揭示变化。但只是将 TLS 用于实际应用。
-
@WDS 对你来说 aes 256 (ecb,cbc,cfb1,cfb8,cfb128,ofb) 的最佳模式是什么?
-
@symcbean 你是什么意思?
-
没有范围查询,没有部分匹配,没有排序,在不注入加密密钥的情况下限制你在程序中可以做的事情(这反而违背了加密的目的)......
标签: mysql encryption man-in-the-middle