用于本地TCP通信的加密机制

Question

对不起，我不是一个网络安全专家，但我正在寻找一些见解！我想加密一个标准的TCP套接字通信，并考虑使用SSL。两个设备可能都未连接到Internet，并且无法与根CA通信来验证其证书。这应该可以防止嗅探通信，但不能防止中间人的攻击。

或者，设备可以生成并签署彼此的证书，但如何使此过程安全呢？

因为它很容易破解，所以可能不值得努力去实现……对吗？或者你会推荐哪种加密机制？

Answer 1

两个设备可能未连接到互联网，并且无法与根CA通信以验证其证书。这应该可以防止嗅探通信，但不能防止中间人的攻击。

不是这样的。如果设备无法访问互联网，它将无法检查证书吊销(CRL/OCSP)。客户端仍然能够验证对方的证书及其有效性。

或者，设备可以生成并相互签名证书，但如何使此过程安全？

你并不真的需要签署对方的证书，各方只需要信任它们。

如前所述，您可以使用自签名CA或自签名证书，然后会出现一个问题:如何保护生成的私钥和CA私钥(不是一直都是这样吗？)。IMHO -即使没有任何互联网接入，使用合格证书(由可信的CA签署)也是一个很好的/best选项。

很容易被黑客入侵..或者你会推荐哪种加密机制？

不，如果你保证私钥是私有的，那就不太容易被黑客破解了。

我想说SSL是确保传输通道的机密性和完整性的最佳选择。