SSL +暗号化の追加レイヤー

Question

SSLの上に2番目の暗号化レイヤーを求める顧客の場合はどうすればいいですか？

たとえば、私はSSLトンネルを持っており、そのトンネルを流れるデータに対称キー暗号化を使用したいと考えています。対称キーはセッションベースであり、元のSSLトンネルを介してサーバーからクライアントに送信されます。

これがより安全であることがわかりません。 SSLトンネルが侵害された場合、理論的には、セッション中に対称暗号化を行うためにサーバーから送信される対称鍵も同様です。

誰でもこの状況について異なる視点を提供できますか？私は、ワンタイムパスワードのような事前共有秘密があれば、これにより物事をより安全にすることができると確信していますが、秘密がSSLを介してセッションを渡って渡されているので、私は見ませんどのように私たちに余分なセキュリティを購入している。

あなたの考えは何ですか？同様の経験がありましたか？

は、「私の最初の暗号化」を読んだと思うのお客様の「次の偉大なアイデアは、」何らかのひどく巧妙な方法で車輪の再発明をするためにそれらに権限を与えるよう

Answer 1

が鳴り:)

このような事が通常ですありがとうあなたは対称キーが送られてくると言っているので、ナンセンス、これまで以上に。

しかし、多くの大企業や機関にはエンドツーエンドのSSL/TLS接続を禁止するポリシーがあります。ウイルスなどのプレーンテキストデータをスキャンできるようにするために、ある時点で着信TLSを終了させます。そのような場合、内部盗聴を防ぐためにアプリケーションレベルでデータをさらに暗号化することが理にかなっています。

しかし、再び内部規制を破る可能性があります...