Menü
Avatar von S.D.NONE
  • S.D.NONE

mehr als 1000 Beiträge seit 19.05.2005

Frage an Experten: Habe ein ähnliches Konzept: Ist die Software sicher?

Bei meinem System, das gerade in Entwicklung ist, gibt es drei Geräte:
- Embedded-Gerät
- HTTP-Server
- PC-Software

Hier die Fakten:

- Die Kommunikation ist rein im Intranet.
- Kommuniziert wird über HTTPS und einem selbst erstellten SSL-Zertifikat
- Die Clients, die mit dem Server eine Verbindung aufbauen, schicken ihr eigenes Client-Zertifikat an den Server.
- Der HTTP-Server überprüft den Fingerabdruck (die Hash-Summe) der Client-Zertifikate mit den erwartetem Wert. Stimmen die Werte nicht überein, wird die Verbindung abgebrochen.
- Gleiches gilt für die Clients: Sie kennen den Fingerabdruck des Server-Zertifikats und prüfen darauf.
- Die Zertifikate sind passwortgeschützt und die Passwörter sollen (das ist noch nicht umgesetzt, kommt aber noch) in der Software verschlüsselt werden. Zur Laufzeit wird dann das verschlüsselte Passwort entschlüsselt, um das eigentliche Zertifikat zu entschlüsseln.
- Die Private Keys des eigenen Zertifikats besitzt jeder Teilnehmer. Anders könnte er ja nicht seine eigene Nachricht entschlüsseln, da ja die andere Stelle ihre Nachricht mit dem Public Key des Senders verschlüsselt.
- Die Software ist öffentlich herunterladbar

Frage: Ist das einigermaßen sicher. Falls nein, weshalb nicht? Was könnte man verbessern.

Bitte nur konstruktive Antworten.

PS: Ich arbeite leider in einer kleinen Entwicklerbude und da gibt es bzgl. Sicherheit kaum Kompetenzen und mit einer Vorlesung IT-Sicherheit ist man lange noch kein Experte...

Das Posting wurde vom Benutzer editiert (20.01.2018 17:08).

Bewerten
- +
Anzeige