监视单元与平板设备之间的非对称加密

Question

我的任务是找到一个私钥将与监视单元相关联的非对称加密技术。监控单元将连接到平板设备，该平板设备将显示来自监控单元摄像机的实时馈电。我要找到一种不对称加密技术，以安全地保护来自监控单元摄像机的馈送。

我面临的挑战是，我在网上找不到任何基于监视单元和平板设备之间的网络连接的非对称加密技术的例子。我只找到了无线路由器之间连接的例子，我认为这是由于WPA3而产生的系统加密。我知道这将涉及TLS/SSL，但这是在应用程序级别，而不是网络级别。

Answer 1

TLS处于应用程序级别。它运行在TCP之上，而不是低于TCP。

有很多TLS的例子，它将取决于您使用的是哪种语言或框架。如果您有足够的技能来开发将监视数据发送到远程单元的应用程序，那么TLS将是微不足道的。

基本上，你需要：

1. 运行在监视单元或中继服务器上的TLS服务器
2. 在平板设备上运行的TLS客户端
3. 监视服务器或中继服务器上的受信任证书。

您只需决定是否要使用公共CA颁发的证书、内部CA颁发的证书或自签名证书，以降低价格和保护顺序。

公共CA颁发的证书是最安全的。这是你的银行使用的那种证书。它们通常在1-2年内到期，因此忘记续订它们将产生可用性问题。

私有CA颁发的证书是免费的，但是您必须在客户端上安装CA证书，而不是每个人都会喜欢这个。原因是因为从此CA颁发的证书与公共证书具有相同的信任，而且如果有人破坏了这个内部CA私钥，他们可以模拟任何站点。

自签名证书可以非常安全，或者完全不安全，这取决于您如何部署它们。如果您签发了一个自签名证书，并在应用程序上使用公钥，这是一个非常安全的解决方案。攻击者将很难嗅探流量和清空数据。

但是，仅仅发出一个自签名的证书并在服务器上安装并不安全。任何位于MitM位置的攻击者都可以发出具有相同字段的证书，在一侧解密数据并使用自己的证书重新加密，客户端可能无论如何都会单击“不安全连接”警告。

存储私钥是您将面临的主要问题。您可以将其存储在监视单元文件系统中，如果有人获得密钥，他们可以解密来自该系统的任何数据。如果每个监控单元都使用相同的密钥，一个泄露的密钥意味着不再有任何单元是安全的。

这就是为什么使用中继服务器是最优的:您可以在监视单元上使用TLS客户端，并将所有数据发送给它。TLS服务器将在此服务器上集中运行，并将数据转发到您拥有的任何平板电脑。