Welches Verschlüsselungsverfahren

Status
Nicht offen für weitere Antworten.

scuzzlebud

Mitglied
Welche(s) Verschlüsselungsverfahren würdet ihr für eine verteilte Java EE Anwendung einsetzen, welche an folgenden Stellen eine Verschlüsselung benötigt?

1. Verteilte Komponenten kommunizieren über XML Webdienste. Dieser Nachrichtenaustausch sollte verschlüsselt werden.

2. Benutzer registrieren ein Passwort. Dieses Password sollte verschlüsselt in einer Datenbank abgespeichert werden.

Ist ein symmetrisches Verfahren zu empfehlen oder ein asymmetrisches wie RSA? Wikipedia sagt zu RSA, dass dessen Sicherheit noch nicht wirklich bewiesen sei und teilweise auf Annahmen basiere. Ich habe mich bisher mit Verschlüsselung nicht wirklich beschäftigt, von daher bin ich für Tipps dankbar.
 

AlArenal

Top Contributor
Bevor du dir selbst was strickst oder Protokolle vergewaltigst, wäre es bei einem Webservice das naheliegendste diesen mit SSL zu verschlüsseln, also über HTTPS laufen zu lassen. Je nach nachdem was einem die Sicherheit wert ist erzeugt man sich eben slebst ein Zertifikat, oder aber kauft eines.

Für das Abspeichern z.B. von Passwörtern in der DB bieten die meisten Datenbanksysteme eigene Funktionen zur Verschlüsselung. Deren Nutzung bietet sich an. Sich hier wer-weiß-was einfallen zu lassen trägt nur in geringem Umfang zur zusätzlichen Sicherheit bei, da viel häufiger viel einfacher der Serverdienst selbst (meist Webserver) oder eien schlecht entwickelte Anwendung das Eindringen von außen ermöglichen.
 

NTB

Bekanntes Mitglied
Frage 1. interessiert mich zur Zeit auch.
In meinem Fall ist es so, dass SSL nicht möglich ist.
Was gäbe es dann als Alternative?
 

AlArenal

Top Contributor
Wer ernsthaft Business mit Webservices und sicherheitsrelevanten Daten betreiben will, für den sollte SSL nicht nur möglich, sondern selbstverständlich sein. Es kommt ja auch kein halbwegs web-erfahrener Mensch auf die Idee in einem Wald-und-Wiesen-Webshop ohne SSL seine Kreditkarten-Daten anzugeben...

Ansonsten bleibt vermutlich nur Muckefuck, also selbstgestrickte Verschlüsselung der Inhalte, ggf. das Kapseln und verschlüssel des eigentlich Webservice-XML in einen unverschlüsselten Webservice. Endet aber in einer proprietären und aufwändigen Lösung, gerade wenn man bestehende Strukturen umwerfen und anpassen muss.

Der Overhead an Aufwand ist m.E. in keiner Weise gegenüber HTTPS zu rechtfertigen
 

scuzzlebud

Mitglied
Danke für eure Antworten.

@AlArenal: Angenommen, das System müsste auf zwei Servern verteilt werden (Client kommuniziert mit Server 1, Server 1 kommuniziert mit Server 2), würde sich SSL da immer noch anbieten? Wikipedia sagt diesbezüglich etwas von Sicherheitslücken.
 

scuzzlebud

Mitglied
Nein, ich dachte lediglich, dass es für verteilte Anwendungen einen Standard für Sicherheit gibt. Und wenn Wikipedia schreibt, es gäbe bei SSL Probleme innerhalb verteilter Anwendungen, so muss es doch eine entsprechende Lösung geben. Nur um meinen Gedankengang nachvollziehbar zu machen ;)
 

AlArenal

Top Contributor
scuzzlebud hat gesagt.:
Nein, ich dachte lediglich, dass es für verteilte Anwendungen einen Standard für Sicherheit gibt. Und wenn Wikipedia schreibt, es gäbe bei SSL Probleme innerhalb verteilter Anwendungen, so muss es doch eine entsprechende Lösung geben. Nur um meinen Gedankengang nachvollziehbar zu machen ;)

Da steht aber auch konkret in welchem Fall es zu welchen Problemen kommen kann und daraus kann man auch indirekt ableiten wie diese ggf. auszumerzen sind. Das die Erhöhung der Komplexizität eines Systems um Faktor n die Sicherheit nicht erhöht, sollte logisch sein. Wenn ich in meinem Rechner zwei Festplatten einbaue habe ich auch ein doppelt so hohes Risiko eines Ausfalls...

Das es aus sicherheitstechnischer Sicht Blödsinn ist Daten an einen Peer zu übertragen, die ihn nichts angehen, nur um diese von ihm weiterleiten zu lassen, sollte einleuchten. Ist die Architektur nicht zentralisierbar, oder clientseitig nicht möglich gezielter Informationen an die Endpunkte weiterzugeben, sind die Umschlagplätze entsprechend besonders zu sichern.

Wobei das schon wieder an sich ne unsinnige Formulierung ist, weil man für mein Dafürhalten eh jeden Server so gut man kann absichern sollte. Wenn man mal ein Gefühl dafür hat wievielen Attacken jeder Server im Internet täglich ausgesetzt ist und überschlägt wieviele davon darauf zurückzuführen sind, dass nicht ausreichend gesicherte Server für diese Attacken genutzt werden, wird einem echt schlecht...
 

SnooP

Top Contributor
Für Webservices würde ich nicht SSL verwenden, da es ja nu doch schon etwas länger WSSecurity gibt - der "Standard" beinhaltet xmlEncryption und Signature und ermöglicht über Handler-Klassen (bei Axis) das verschlüsseln/signieren z.B. nur bestimmter Elemente der SOAP Nachrichten... z.B. wenn die Elementnamen plain übertragen werden dürfen und nur der Inhalt verschlüsselt werden soll... das ganze ist dann schneller, da nicht der gesamte XML-Kram verschlüsselt werden muss.. - ist natürlich vom Aufwand her auch etwas höher - bietet sich also nur manchmal an auf SSL zu verzichten ;) - aber wenn das nicht geht (warum auch immer)...

als Verschlüsselungsalgorithmen können nahezu beliebige eingesetzt werden... sprich in der Praxis sowas wie 3DES + RSA mit Duffie-Hellman Schlüsselaustausch... die keys können mit keytool javaseitig in Zertifikate gepackt werden. Aber dazu gibt es reichlich Infos im Netz...
 
Status
Nicht offen für weitere Antworten.
Ähnliche Java Themen
  Titel Forum Antworten Datum
G Welches Problem besteht bei den Typparametern? Allgemeine Java-Themen 5
S Programm entwickeln, welches ein Dreieckspuzzle lösen kann Allgemeine Java-Themen 5
Z Welches GUI Framework für Java ist aktuell? Allgemeine Java-Themen 16
D Verkauf von einem Programm welches ich in Java geschrieben habe Allgemeine Java-Themen 4
perlenfischer1984 Welches Design Pattern ist geegneit. Allgemeine Java-Themen 7
U Welches ist das richtige Entwurfsmuster Allgemeine Java-Themen 2
S Byte Array welches in Laufzeit aufgelöst wird // Objekt Array Allgemeine Java-Themen 3
F Welches Design Pattern? Allgemeine Java-Themen 3
T WeakReference/PhantomReference: Mitbekommen WELCHES Objekt nun GC'ed wird Allgemeine Java-Themen 2
P "Komplexe" Datenbankabfragen, welches ist der bessere Weg Allgemeine Java-Themen 4
A Welches Speichermanagement für einen Kalkulator Allgemeine Java-Themen 7
T Welches Tuturial soll ich paralell lesen ? Allgemeine Java-Themen 3
R Welches User-Verzeichnis wählen für Configurationsdateien - Windows Allgemeine Java-Themen 2
G Gleiche Packages in verschiedenen JAR Dateien - Welches Package wird verwendet? Allgemeine Java-Themen 5
E Welches Dateiformat für gespeicherte Einstellungen? Allgemeine Java-Themen 20
N Servlet welches PDF erzeugt Allgemeine Java-Themen 10
A Erkennen welches Fenster bei windowDeactivated aktiviert wird? Allgemeine Java-Themen 2
ruutaiokwu welches design pattern? frage an die oo-experten unter euch... Allgemeine Java-Themen 3
ARadauer Welches Programm hört auf Port? Allgemeine Java-Themen 3
P Textfiles laden - egal welches Encoding Allgemeine Java-Themen 9
N Welches design pattern? Allgemeine Java-Themen 8
André Uhres Welches Werzkeug benutzt ihr um eure Mails zu lesen? Allgemeine Java-Themen 47
A Welches Programmdesign? Allgemeine Java-Themen 6
D Welches Pattern kann ich nutzen? Allgemeine Java-Themen 9
F welches array ist im jedem programm? Allgemeine Java-Themen 6
Z Testen welches BS benutzt wird Allgemeine Java-Themen 3
T Welches Webframew0rk für pure Java? Allgemeine Java-Themen 13
M Welches Linux zum Java testen? Allgemeine Java-Themen 5
D Welches Fenster ist im moment aktiv? Allgemeine Java-Themen 11
K Welches Betriebssystem ist in Benutzung? Allgemeine Java-Themen 11
M Welches Objekt ruft die Methode auf? Allgemeine Java-Themen 12
G Welches Java GUI Buch würdet Ihr empfehlen Allgemeine Java-Themen 2
W VersionsVerwaltung welches Tool Verwendet ihr Allgemeine Java-Themen 12
D Welches Linux in Verb. mit Java Allgemeine Java-Themen 9
S Welches LookAndFeel ist das? Allgemeine Java-Themen 2
Chucky Java Buch - nur welches? online oder kaufbuch? Allgemeine Java-Themen 18
P Welches JRE braucht meine Applikation? Allgemeine Java-Themen 3
W welches layout? Allgemeine Java-Themen 3

Ähnliche Java Themen

Neue Themen


Oben