SSL + 附加加密层答案

【问题标题】：SSL + Additional Layer of EncryptionSSL + 附加加密层
【发布时间】：2011-10-15 15:34:00
【问题描述】：

我想知道如果客户要求在 SSL 之上进行第二层加密该怎么办？

例如，我有一个 SSL 隧道，而客户希望我对流经该隧道的数据使用对称密钥加密。对称密钥是基于会话的，并通过原始 SSL 隧道从服务器发送到客户端。

我看不出这样更安全。如果 SSL 隧道遭到破坏，那么理论上，在会话期间从服务器发送来进行对称加密的对称密钥也会受到破坏。

任何人都可以就这种情况提供任何不同的观点吗？我敢肯定，如果事先建立了一个共享机密（例如一次性密码），这将使事情变得更加安全，但是由于机密是通过 SSL 跨会话传递的，所以我看不到它如何为我们带来额外的安全保障。

你有什么想法，你有过类似的经历吗？

谢谢

【问题讨论】：

【解决方案1】：

对于那些认为阅读“我的第一个加密货币”能够让他们以某种极其聪明的方式重新发明轮子的客户来说，这听起来像是“下一个好主意” :)

这样的事情通常是无稽之谈，更是如此，因为正如您所说，对称密钥是一起发送的。

但是，我可以想到一种可能有意义的情况 - 许多大公司或机构都有禁止端到端 SSL/TLS 连接的政策。它们会在某些时候终止传入的 TLS，以便能够扫描纯文本数据中的病毒等。在这种情况下，在应用程序级别额外加密数据以防止内部窃听可能是有意义的。

但话说回来，你很可能会违反内部规定......

【讨论】：

感谢您仔细检查我。我想如果对称密钥不是通过通道发送的，而是像共享密钥一样被硬编码，它实际上可能会使系统更安全。或者如果它的工作方式类似于一次性密码
@user146714：您可以在您的 TLS 通道上使用新的 Diffie-Hellman 密钥交换，然后使用这个新密钥（永远不会发送）进行加密。
有同样的想法。如果有几个用户可以访问远程套接字，并且您希望保护您的消息不被其中一些人阅读，那么这对我来说很有意义。正如 user146714 所说，我不会将对称密钥与消息一起发送，而是将其用作我的加密/解密密钥。