我在两件事上需要帮助:
关于一种加密算法的建议,我可以使用该算法在服务器上对数据进行编码,将其发送到 AS3 客户端并在那里对其进行解码。根据我的阅读,公钥 - 私钥听起来不错。
一个可以编码和解码的AS3库,兼容PHP的bcrypt(再次,我读到bcrypt最适合这种数据传输)。
我不是安全专家,希望问题清晰而不笨拙。
编辑:建议 SSL 是一个不错的选择,但目前我正在寻找非 SSL 的。
谢谢。
【问题讨论】:
标签: php actionscript-3 public-key-encryption
您的威胁模型是什么?如果您只是担心人们会在数据在线时嗅探数据,那么请使用 SSL。它对您的应用程序是透明的,通常您只需安装证书并将 URL 从 http:// 更改为 https://
如果您的主要威胁是有人在应用程序上运行调试器以捕获数据,那么您将遇到更大的问题,并且极不可能阻止某人“窃取”数据。
【讨论】:
@Marc B 指出 SSL 非常安全,但如果您绝对需要自定义加密...
如果服务器支持 mcrypt(大多数 PHP 实现都支持),那么您可以使用 mcrypt 提供的任何加密方法(包括现代 AES 实现、IDEA、TEA 等 [实际上是一长串]) .但是,必须编写 php 脚本(当然)以预期加密数据。
查看http://php.net/manual/en/book.mcrypt.php 了解有关 PHP 实现 mcrypt 的信息。
编辑:print_r(mycrypt_list_algorithms()) 在安装了 php-mcrypt 的几乎库存的 Fedora 盒子上的快速转储显示...
Array
(
[0] => cast-128
[1] => gost
[2] => rijndael-128
[3] => twofish
[4] => arcfour
[5] => cast-256
[6] => loki97
[7] => rijndael-192
[8] => saferplus
[9] => wake
[10] => blowfish-compat
[11] => des
[12] => rijndael-256
[13] => serpent
[14] => xtea
[15] => blowfish
[16] => enigma
[17] => rc2
[18] => tripledes
)
rijndael 是 AES。有些出于不同的原因比其他的更好,而有些则只是垃圾(如 DES)。
【讨论】:
如果您不介意有人使用客户端调试器,只需使用 ActionScript 库(例如 as3crypto),它应该具备解码 PHP 发送的任何数据所需的一切。
公私密钥加密没有任何意义,因为您必须将您的私钥嵌入 SWF 中,从而使其公开。
【讨论】: