私はWCFに関する本を読んでおり、トランスポートレベルのセキュリティを使用してメッセージレベルのセキュリティを使用することに関する賛否両論について議論しています。とにかく、私は セキュリティはそれが一貫コンgured セキュリティを有するネットワーク パス内のすべての 「ステップ」と参加者に依存しているということである輸送のトランスポートレベルとメッセージレベルのセキュリティ
一つの制限著者の引数に任意のロジックを見つけることができません。メッセージ が宛先に到達する前に仲介 通って移動しなければならない場合は、他の言葉では、 はその 仲介が完全に制御されない限り、そのトランスポート セキュリティが仲介した後ステップ (有効になっていることを確認する方法はありません元のサービスプロバイダによって によって)。セキュリティが忠実でない を再生した場合、データは がダウンしている可能性があります。
メッセージセキュリティネットワークに関係 せず、 individ- UALメッセージの整合性とプライバシーを確保することに重点を置いています。 公開鍵と秘密鍵を介した暗号化や署名など、 メカニズムを使用すると、メッセージ は、保護されていないトランスポート (たとえば、 HTTPなど)で送信されても保護されます。
A)
そのセキュリティを忠実に再現 ない場合、データは 下流損なわれる可能性があります。
真の、しかし2つの使用SSL通信システム、従って証明書を仮定すると、受信機が気づくので、パケットを拒否した場合、それらが交換するデータは、中間によって解読することはできないが、代わりにのみ変更することができます?!
B)とにかく、私は上記の引用を理解する限り、それが暗示されている2つのシステムがSSL接続を確立し、場合であれば、SSLが有効になっているとS場合も、その後、ハッカーによってSを所有しているS仲介システム(別名ハッカー)は、SSLトラフィックの通過を傍受できません。しかし、SにSSLが有効になっていないと、ハッカーはSSLトラフィックを傍受できますか?それは意味をなさない!
C)
メッセージセキュリティはネットワークに関係なく、individ- UALメッセージの整合性とプライバシーを確保することに重点を置いています。 のようなメカニズムを公開鍵と秘密鍵を使用して暗号化して署名すると、保護されていないトランスポート(プレーンHTTPなど)で送信されてもメッセージは になります。
これは、トランスポートレベルのセキュリティは、暗号化と証明書を使用することができるので、意味がありませんので、なぜトランスポートレベルでそれらを使用するよりも安全であるメッセージ・レベルでの公開/秘密鍵を使用したのでしょうか?なぜなら、仲介者がSSLトラフィックを傍受できれば、メッセージレベルのプライベート/パブリックキーで保護されたメッセージを傍受することができないのはなぜですか?
は、私は私は彼ができますか見て考えるあなたに
私は同意します。両方の場合で信頼の問題は同じです。 –
「両方のケースで」とはどういう意味ですか? – user437291