PGPを使用してSOAP Webサービスの機密性を確保できるかどうかを知りたいですか?SSLを使用したくないので、高スループットのデータトランザクション用のトンネルを作成するのは一種の遅いメカニズムです。I対称キーを使用してデータを暗号化しますが、キーは非対称公開キーによって暗号化されます。ネットワークにメッセージをプッシュすると、目的の受信者だけがデータを読み取ることができます。これはWebサービスに適した公正なパターンですか。
どんな助けでも大歓迎です。よろしく
SSLはSOAP + PGPよりも高速になります。暗号的には、SSLとPGPはどちらも、公開鍵暗号を使用して対称セッション鍵を保護するハイブリッドシステムです。実際には、SSLはクライアント側とサーバー側で調整されており、SSLが実行していることを迅速に実行します。この場合、PGPは最適化されていません。また、独自のPGPメソッドを使用する場合は、鍵の配布と信頼のメカニズムを理解する必要があります。
独自の暗号化を行うと、MITMプロキシ、アクセラレータの復号化など、通常の場合から暗号化を保護できるという利点があります。
あなたのアプリについてもっと知らなければ、言うのは難しいですが、ほとんどの場合、あなた自身の道を進む価値はありません。 SSLは、平均的なアプリケーションに非常に優れたセキュリティを提供します。
PGP/GPGは通常、Webサービスには使用されません。それは、通信している人の公開鍵を持っていることを通信している人に依存しています。 Webサービスでは、これは一般的に保証されていません。したがって、提供しているサービスの種類によっては、これは理想的ではない場合があります。
選択したグループの人々にのみサービスを提供しようとしている場合は、キーサーバーが設定されていることを確認する必要があります。すべてのユーザーがPGP/GPGキーを生成/保持する必要があり、すべてのユーザーがそれらをアップロードする必要があります。キーサーバーへのキー。アプリケーションは、使用するキーサーバーを構成する手段を提供する必要があります。
私の意見では、SSL/TLSの代わりにPGP/GPGを使用することはオーバーヘッドの価値がありません。 SSL/TLSが持つと思われるあらゆる種類の速度低下は、使いやすさとアクセシビリティで補われています。そして正直なところ、それは本当に遅くはありません。ほとんどのアプリケーションがWebベースのセキュリティにそれを使用するのには理由があります。
SOAPウィキペディアページ から直接
SOAPは、HTTPS(アプリケーションレベルではHTTPと同じプロトコルですが、その下で暗号化されたトランスポートプロトコルを使用します)を介して、単純認証または相互認証で使用することもできます。これは、WS-I Basic Profile 1.1に記載されているように、Webサービスセキュリティを提供するために推奨されているWS-Iメソッドです。
SSLはすでにほとんどのライブラリにネイティブに含まれているため、プレーンテキストのWebサービスとSSLバージョンの違いは、双方の開発の観点からはごくわずかです。クライアントが永続的な接続を利用するか、SSLセッションを再利用する場合、クライアントとサーバー間のネゴシエーションはさらに軽く、高速になります。有名な認証局を使用すると認証プロセスが簡単になるため、キーを交換する必要はありません。また、CPU負荷を軽減するためにハードウェア固有のコンポーネントを使用するSSLアクセラレータもあります。