用TLS实现端到端加密

Question

这种情况是，客户端浏览器(例如:试图登录银行网站的用户)需要能够通过驻留在DMZ中的web/应用服务器(客户端不应该能够直接连接到大型机)查看驻留在内部网络的大型机中的某些敏感信息。

在一个简单的设置中，将有两个TLS会话，即一个在客户机和web服务器之间，第二个在web服务器和大型机之间。此设置的问题是敏感信息在and服务器上再次被解密和加密。因此，当敏感信息在web服务器上清除时，就会有一个时间点。

如何减轻这种情况，使信息在web服务器上保持机密，但可以在客户端成功解密？如何实现端到端加密？

Answer 1

不幸的是，你会发现这只是没有完成。正如您正确指出的，您不允许客户端通过使用一个TLS通道进行所有连接，因此在web服务器或TLS端点上解密是给定的。

因此，组织所做的就是评估风险，然后查看web服务器上的其他安全控制。其中包括：

• 物理隔离
• 逻辑隔离
• 分离管理连接
• 强认证
• 监测行政访问
• 服务器硬化
• 等

(有一种可能的部分解决方案，即使用加密RAM、加密磁盘等运行who服务器，但是这会导致严重的性能影响，并且仍然无法防止攻击者访问who服务器。)

Answer 2

如果您想要一个真正的端到端解决方案，以便客户从web服务(托管在DMZ中)访问他们的个人信息(驻留在银行局域网中的大型机上)，那么您必须为客户创建一个浏览器插件。

这将需要他们花费额外的时间(作为第一次用户)来下载和安装您的插件.但他们不需要计算机上的管理特权就能做到这一点。

您仍然将使用两个单独的TLS会话，但它们将围绕一个端到端的解决方案，该解决方案将加密主机上的用户数据，并在他们的客户端(使用插件)解密这些数据。您可以使用PGP (我更喜欢NaCl异步密码)作为大型机插件加密系统的基础。

编辑:作为另一种选择，你可以给你的客户发送一个设备(比如ebay蛋)，或者让他们下载一个移动应用程序(比如google )，它可以为他们提供一个基于时间的密码(可用密码通常是定期过期/替换的，通常只需几秒钟，就可以保证短密码~8位数的安全)。当您的客户请求敏感信息时，大型机将向他们发送一个加密的ZIP文件，该文件在离开大型机之前是安全的。然后，他们将使用其身份验证设备/应用程序提供的当前PIN作为密码来解密数据。

一个更低的技术选项(与验证器设备/应用程序相比)是允许客户获取一次使用PIN的列表，当用户用完PIN时，就可以将其注销。您可以要求客户在其本地分支机构获取这些列表，也可以将它们邮寄给客户。这是一种2因素身份验证的形式，因为客户仍然需要使用他们的密码才能访问他们的网上银行。

Answer 3

基本上，如果我理解您的需要，您只需要转发大型机SSL侦听端口，以便它侦听DMZ中的主机。这可以使用任何NAT解决方案。