嵌入式设备通常需要传输数据的安全性。想想你的无线路由器。当您连接到路由器进行管理时,您希望使用SSL来保护您的密码。但设备制造商不能期望用户安装证书(太麻烦了)。在没有证书的情况下使用SSL
所以我们有一个问题,如何在嵌入式设备上使用SSL,但没有在每个设备上安装唯一的证书的麻烦。自签名证书可以工作,但浏览器警告会吓倒普通用户。
SSL提供了两件事情:1。 验证服务器 2.加密通信
对于嵌入式设备,我们可以在不先做的身份,但我们往往真正想要的第二位。所以我们想要的是在没有证书的情况下使用SSL,或者在没有警告的情况下使用自签名证书。浏览器中的自签名证书警告会吓倒普通用户。那么该怎么办?
嵌入式设备似乎没有好的解决方案来使用SSL?
想法?
SSL提供了两件事情:1.验证服务器2.加密通信
对于嵌入式设备,我们可以在不先做的身份,但我们往往真正想要的第二位。所以我们想要的是在没有证书的情况下使用SSL,或者在没有警告的情况下使用自签名证书。浏览器中的自签名证书警告会吓倒普通用户。
您的问题表明您并不真正了解身份验证在SSL中的角色。
未识别对等体的加密允许攻击者发起中间人攻击。在这种攻击中,客户端将与攻击者建立加密连接,并且攻击者拥有与服务器的另一个加密连接。攻击者将从客户端获取加密数据,将其解密并再次将其加密转发给服务器。从服务器到客户端的数据也是如此。这样攻击者可以监听甚至修改数据。服务器和客户端都不能检测到攻击,因为缺少对等的识别。
如果客户端想要与设备建立可信连接,则需要先建立信任关系。通过自签名证书,可以通过在浏览器中接受一次证书来完成(但只有在绝对不存在中间人的情况下)。从那时起,任何中间人攻击都会被检测到,因为证书已经改变。
没有SSL,没有标识。凭借自签证书,不存在“真实”身份证明。所以我们因此失去了所有加密,因为我们没有识别。但是,如果它是一个100%通用的WIFI网关,那么是否有人有任何可扩展的,可制造的想法来获得良好,安全的密码加密?如果您因为没有证书而无法使用SSL,那么登录密码是明确的。 Digest Auth与MD5不足。 – Embedthat 2014-11-25 08:19:31
使用自签名时,除非您明确检查指纹,否则在第一次连接时不会有真实标识。因此,这种连接必须通过已知安全的通道完成。但是,对于所有将来的连接,将检查接收到的证书是否与已知的证书相匹配,以便完成真正的识别。 “...使用MD5的摘要认证不足。” - 我认为你错过的是一个明确定义的方案,针对你的解决方案应该保护什么类型的攻击。 – 2014-11-25 08:34:22
有很多场景,但是让用户使用WIFI连接到WIFI路由器来管理它。许多用户都这样做。除非使用SSL,否则密码将以明文形式发送,但是证书的负担使得制造商无法进行配置。有人嗅探WIFI数据包(很容易),然后可以轻松捕获密码。嵌入式设备还有很多类似的情况。 – Embedthat 2014-11-25 15:27:24