cryptico.js的实际应用

Question

Cryptico看起来像是一个超级圆滑的RSA加密库。

cryptico.wwwtyro.net

对于JavaScript应用程序，假设我想要将数据发送到客户端，让客户端对数据执行某些操作，然后将其传递回来。如何使用RSA确保客户端发送回服务器的数据未被篡改？由于JavaScript很容易进行反向工程，那么是否有任何实用的客户端应用程序？

Answer 1

你的例子是不是意味着你想对用户隐藏他的客户对数据做了什么？如果是这样的话-这是不可能的。您永远不应该信任来自客户端的任何数据。如果您将加密数据发送到客户端进行处理-您必须假设用户知道(或将知道他是否想要)加密密钥，否则将无法处理。换句话说，没有一种安全的方法可以向用户隐藏他的客户端处理的内容。混淆-就像你已经注意到的那样，无论你使用哪种语言，总会被破解。

我认为这个库最常见和最实用的客户端应用程序是加密用户数据并将其发送到服务器，反之亦然。在某些情况下，您可能不能使用SSL。此外，你可以做一个-for的例子--在facebook上一个加密的帖子，只有你的朋友才能解密(因为他知道密钥)。

Answer 2

有一个解决方案可以满足您的需求(我相信不止一个)。我的答案是需要两种非常规的方法来实现我们所说的“安全连接”，以及如何接收“客户端代码”。

你需要一个物理预共享密钥来启动安全连接，因为它是预共享的，所以它不必是

1. ，这就为you.
2. Physically提供了更快的机会和更高级别的加密安全性，从而以类似的方式预共享您的客户端代码，即从杂志中的cd或从市场上出售的预付卡下载代码。这会阻止MITM向您发送被篡改和被利用的客户端，这是ssl允许的。一旦知道客户端是安全的，并且建立了(1)中提到的真正的安全连接，就可以更新客户端代码。

通过将开发安全连接的预共享密钥和可通过校验和的客户端代码相结合，您可以实现您想要的结果。

理想情况下，我们现在应该在市场上提供预先共享的安全连接密钥，但我们没有。所以，对于你来说，单独做这件事，需要为你的网站专门实现类似的东西，直到这个国家的人们在一些真正的安全措施下采取行动。你将不得不通过你的电话，通过邮件等方式给他们密钥，而且由于跨域安全问题，你的客户端代码很可能必须是一个浏览器扩展才能安装它。