pa bilo koji noviji simetricni cipher ce ti odraditi posao (AES?). Samo da pitam, zar ti nije jednostavnije da nabacis SSL na web servis i onda ce sva enkripcija biti transparentna i pokrivace ceo servis umesto samo te stringove?

koristi neko vec gotovo resenje , da bi implementirao bilo kakav kriptografski protokol
moras mnogo stvari da znas i mnogo da razmisljas
i ovde ne mislim na kriptografski algoritam , tipa AES , vec mislim na upotrebu istog

vidi link


http://www.matasano.com/log/17...our-code-youre-doing-it-wrong/
procitaj ovo , dobro ilustruje sta sam hteo da kazem ,



i da, zar ti SSL nebi bio dovoljan ?

zbog cega se uvodi enkripcija ?

Odmah da napomenem da i ja podrzavam ideju SSL-a samo sam hteo malo da iskomentarisem taj blog.

Mislim da se dosta preteruje u pogledu kolicine znanja koju treba da imas da bi u praksi koristio blok ciphere, i ovaj tekst je direktan primer toga. Realno sve u vezi blok ciphera sto treba da znas nalazi se na jednoj web stranici i to treba da iskombinujes sa primenom za koju ti treba (+ treba da znas da sve sto saljes napolju u divljinu moras da potpises da bi proverio tampering). Meni to ne zvuci mnogo komplikovano.

Dalje, ECB je zaista podlozan pattern propagaciji ali to sto su crno bele RAW fotke vizuelno prepoznatljive ne znaci da mozes da dodjes do kljuca, niti umanjuje primenljivost ECB-a za brzo kriptovanje podataka kod kojih pattern ne utice na provaljivanje informacija. Cak i u ovom tekstu sa kriptovanjem cookie-a ECB nije problem, sta vise pattern vec znas (key=value parovi) al ti opet ne pomaze. Jedino sto je realan problem u celom ovom (ipak zanimljivom) blogu je sto cookie nema MAC.

ono sto sam ja primetio kao mnogo vecu falinku i manu programera koji pocinju u kriptografiji je sigurnost simetricnih kljuceva. Dzaba i odlicno kriptovan ciphertext kad je transfer i/ili sigurnost kljuceva slaba tacka. Cak i u ovoj temi, pitanje je odmah bilo kako da kriptujem stringove, a niko ne pita za kljuceve sto je jos jedan plus za SSL kao resenje ovog problema.

poenta onog teksta jeste bila da malo pretera

bas iz razloga sto postoje biblioteke koje rade posao odlicno , ako ne odlicno onda jako dobro


tekst jeste bio preterivanje , definitivno
ali ga koristim da bi istakao nesto sto pricam svakome ko me pita o kriptografiji
da treba ostaviti to profesionalcima


tebi verovatno nije mnogo komplikovano , posto , koliko vidim , poznajes tematiku
ali mnogi developeri su samo culi za AES , hoce da ga koriste , a ne znaju ni kako radi ...


ovo vec prelazi u domen filozofije :)

ajd pozdrav

Ok ljudi hvala na odgovorima, najverovatnije cu odraditi preko SSL-a. Servis bi trebao da postavim na Oracle AS samo nemam iskustva sa tim pa ako neko znao o cemu pricam da mi u kratkim crtama objasni kako i sta. Koliko sam skontao trebao bi nekako napraviti sertifikat koji bi klijentima omogucio pristup preko https-a ili ....??

Sve sugestije su dobrodosle :-)