Была такая же идея. Если есть несколько пользователей, которые имеют доступ к удаленному сокету, и вы хотите защитить свое сообщение от чтения некоторыми из них, это имеет смысл для меня. Как сказал пользователь 146714, я бы не стал отправлять симметричный ключ с сообщением, а использовал бы его в качестве секрета шифрования / дешифрования.
нтересно, что делать в случае, если клиент запрашивает второй уровень шифрования поверх SSL?
Например, у меня есть туннель SSL, и клиент хочет, чтобы я затем использовал шифрование симметричным ключом для данных, проходящих через этот туннель. Симметричный ключ основан на сеансе и отправляется с сервера клиенту через оригинальный туннель SSL.
Я не вижу, как это более безопасно. Если SSL-туннель скомпрометирован, то теоретически, так же как и симметричный ключ, отправляемый с сервера для симметричного шифрования во время сеанса.
Может ли кто-нибудь предложить какие-либо другие точки зрения на эту ситуацию? Я уверен, что если бы заранее был установлен общий секрет (например, одноразовый пароль), это сделало бы вещи более безопасными, но, поскольку секрет передается через сеанс через SSL, я не вижу как это дает нам дополнительную безопасность.
Что ты думаешь, и был ли у тебя подобный опыт?
Спасибо