【发布时间】:2011-08-03 19:22:58
【问题描述】:
我发现了这个开源的 Javascript AES 实现 http://www.movable-type.co.uk/scripts/aes.html 如果您可以使用带有 javascript 的 AES,是否有理由使用 SSL?除了安全图标之外,使用 256 位加密的 SSL 付费还有什么好处?
【问题讨论】:
标签: javascript ssl aes
【发布时间】:2011-08-03 19:22:58
【问题描述】:
SSL/TLS 不仅仅是加密。事实上,SSL 甚至根本不需要加密(...WITH_NULL cipher suites)。但这里有一些除加密之外的功能:
- 服务器身份验证
- 客户端身份验证
- 可恢复的会话
- 可协商的密码套件
- 防止中间人攻击
- 完美的前向保密(如果您使用 Diffie-Hellman 或椭圆曲线 Diffie-Hellman 密钥交换)
- ...
SSL/TLS 在高级视图中可以被认为是非对称加密(建立会话密钥)和对称加密(使用以前建立的会话密钥的“加密”部分)的混合体。与仅使用 AES 相比的最大优势是您最初不需要建立密钥。在您的情况下,您将如何确保客户端和服务器使用相同的密钥?你将如何建立它?您将如何保护它?
TLS 会为您处理这一切。另请参阅post,了解有关类似主题的更多想法。
【讨论】:
SSL 不仅提供加密;它还可以防止中间人攻击。这就是证书的用途。 此外,当您想通过 JavaScript 进行加密时,窃听者可以监听对话并在传输过程中更改加密算法。 SSL 在发送网页之前提供加密。
【讨论】:
主要区别在于 SSL 确认您的网站对用户的信任。这意味着他绝对可以信任 SSL,Javascript 不那么可信。
【讨论】: