我正在寻找一种方式,以客户方解码RSA分别OpenSSL的编码消息。OpenSSL的解密在浏览器
理念:
特殊的数据只存储加密的服务器上的公共密钥,这样没有人能够看到真实的数据 - 即使是在服务器的黑客案件。
在adminforce的管理员则可以通过将其transfering到浏览器和“打开”这些文件的一些JavaScript代码,以便它永远不会解密的服务器上,只有在安全客户方的数据进行解码。
我真的需要它在自定义JavaScript浏览器中直接解码,因为这些数据已被js中的某些算法clientide使用。
问题:
似乎没有OpenSSL库中的JavaScript或我没有找到一个还没有。虽然有多种纯JS实现RSA的,他们只是实现了简单的RSA算法,但是,普通的RSA是不是安全使用的块加密,并具备“choosen明文攻击”一些攻击。
是否有人知道openssl解码的JavaScript实现,或者为Firefox添加这些功能到文档的插件?或者任何其他安全的非对称加密内置到JavaScript?
这种方法存在一个小小的缺陷:如果你的服务器被黑客入侵,攻击者很可能会改变它所服务的JavaScript,这可能会将解密后的内容透明地发送回服务器(从而攻击者)。依赖JS意味着客户端在发生这类攻击时不再安全。你最好为此开发一个独立的应用程序,也许是一个签名的Java WebStart(或Applet),只要它没有用服务器上保存的私钥签名。 – Bruno
布鲁诺你说得很对,但我不需要在服务器可能泄露的网页上运行openssl的js实现。我想写一个浏览器的扩展,不能被网页上的恶意js-code破坏。 –