Extra kryptering HTTPS anrop

Hej,
skulle behöva biffa upp restanrop med extra kryptering. Någon som har några tankar kring hur jag kan koda detta i API resp clienten.

Det kan finnas många servrar och varje server har i sin tur clienter. Clienter delas inte mellan servrar.

Ha en fin onsdag!

Mjukvaru kryptera datan du skickar över?
annars sätta högre krav protokollet.. t.ex kräv TLS 1.3

Min första fundering blir varför du vill dubbelkryptera det ?

HTTPS kryptering är tillräckligt bra så man inte behöver fundera på det, lyssna inte på alla dessa jävla VPN reklamer om att det är osäkert att surfa på nätet, ser du till att trafiken går över en vettig HTTPS anslutning så kan du vara lugn.

Om du mot förmodan tvärt måste dubbelkryptera så för att inte snurra in så mycket i saken har du egentligen två primära sätt att lösa det.

AES kryptering där båda parterna har samma nyckel och trafiken kan krypteras och avkrypteras med den nyckeln.
eller:
RSA kryptering, man krypterar datan med en nyckel, avkrypterar den med en annan. (Public/Private keys)

HTTPS använder sig av båda dessa typer av kryptering.
Lite snabbt beskrivet kan man tänka såhär.

Klienten ansluter till servern och får den publika nyckeln.
Klienten väljer då en gemensamt AES nyckel och krypterar det med hjälp av RSA publik nyckeln.
Server mottar paketet och växlar över till AES kryptering med nyckeln som klienten angivet och trafiken använder den hädanefter.

Men, beroende på vilken standard du vill uppnå så kanske man klarar sig med en väldigt simpel XOR "kryptering"

Ett sätt att göra det är att räkna ut en sha summa av ett "lösenord" sen använda det för att köra XOR på datan du vill kryptera.

Men helst vill man nog undvika att ha ett fördefinierat lösenord i kod på klient och server. Det är bra om man byter det med jämna mellanrum.
Har sett kod där de saltar ett lösenord med dagens datum, då får de en unik SHA summa per dag.

Du nämner också att det kan vara flera servrar med sina egna klienter, då kanske man kan lägga till något unikt från varje server.
Har vart med om att många licensservrar använder MAC adressen på servrarna för att verifiera att de körs på en maskin.

Möjlighet finns också att kanske kolla efter datorns modell alternativ serienummer som man kan hämta från servern, men då kanske processen måste köras av en användare med rättigheter för att kunna läsa av den informationen, varav en vanlig användare på servern brukar inte ha problem med att få fram MAC adressen på nätverkskorten.

Det blir det nog med, men allt går väl att knäcka antar jag.

En del brandmurar kan ersätta certifikatet med sitt egna, och på det sättet avkrypterar all webtrafik så företagets IT-avdelning (och eventuella hackers av företaget) kan se all https-trafik i klartext. https://knowledgebase.paloaltonetwor...g000000ClmyCAC

Så det kan i teorin göras av alla mellanhänder.

Säkerhetstänk ligger ju i lager, så ja, inget fel bygga in extra steg, olika algoritmer ger bättre skydd.
Men jag vet inte, bör ju finnas skäl för det med.. låter inte som TS jobbar för rikets säkerhet direkt
en väderapp ska man inte ha hybris över

Jag skulle aldrig göra det, utan litar rätt rejält på tls, men hade jag varit tvungen hade jag kört AES eller något annat symmetriskt chiffer, med ECDH-ade sessions-nycklar inuti tls om det är just transporten du tycker är läskig. RSA bör man helst inte använda för transport, för det är himla långsamt.

*Alla mellanhänder som har tillgång till dina enheter och kan lägga in egna CA certifikat. Försöker du göra något liknande med vanlig trafik kommer protokollet se dig som illegitim och kasta felkoder till höger och vänster.