Шифровка данных для отправки, как проще?

Question

[artsin]

Есть небольшая задача - сделать wifi rfid считыватель, чтобы он отправлял код карточки на сервер. Предполагаем использовать ESP8266, но гонять номера в нешифрованном виде по сети не очень хорошо. Но и писать поддержку SSL на ESP тоже не хочется.
Можно ли как-то просто зашифровать(и при этом безопасно) данные? Ведь нам только одну строку отправлять. И принимать ниче не надо... Или так делать нельзя и обязательно поднимать SSL?

Answer 1

[ТыжСисАдмин]

Можно гонять или нельзя это вопрос больше философский.
Сам трафик от считывателя до Wi-Fi AP шифрованный (я так понимаю там умеет этот модуль WPA2-PSK к примеру), дальше идёт ваша сеть и тут становится вопрос доверия собственной сети и сосбсвенно от её топологии.

Приведите пример вектора атаки которой вы опасаетесь а там уже поговорим :)
Ну а шифровать можно как угодно, строка же, да хоть XOR обычный или ещё чего поинтереснее, если есть возможность отправлять данные оборачивая в SSL то конечно это хорошо будет но я не знаком с ESP8266 изнутри.

Comments

[Владимир Дубровин]

Не давайте плохих советов. Нельзя в данном случае использовать XOR.

[ТыжСисАдмин]

Владимир Дубровин: это не плохой совет, это больше стёб :)
Я-же не знаю чего автор может впихнуть в эту железку.

Моё мнение что тут больше вопрос архитектуры всей системы а не наличие шифрования как такового, даже тот-же Wi-fi - никто не мешает создать VirtualAP и весь трафик отроутить сразу в порт который пойдёт напрямую в сервер и тем самым создав "Safe trusted zone" в которой в принципе шифрование этих данных превращается в дополнительную меру безопасности а не основную.

Так что вопрос архитектуры и целевого использования.

[artsin]

Вот еще такая штука - нашел вот такой простенький алгоритм шифрования - https://ru.wikipedia.org/wiki/TEA. Он для таких целей подойдет. Дело в том, что та, трафик от вайфая шифрованный. Но потом ключи попадают в локальную сеть, пароль от вайфая все знают, а база хранится на распберри.

[artsin]

Извините, забыл знак вопроса после предложения "Он для таких целей подойдет?":)

[ТыжСисАдмин]

artsin: Да вполне пойдёт думаю. Владимир Дубровин пнул меня за то что я предложил алгоритм который собственно не защищает данные и легко "взламываемый" :)

А вот с вайфаем, как я уже и говорил - не порядок.
Всё-же вам стоит разделить Wi-Fi для всех и для вашей системы, хотя-бы потому что есливаш "сервер" будет находиться в общем сегменте то атаку можно производить не на алгоритм шифрования а на сам "сервер".
Вам по хорошему нужно разделить это всё дело, даже если у вас в качестве Wi-Fi используется SOHO роутер то вполне можно прошиться OpenWRT, создать VirtualAP и весь трафик сразу маршрутизировать на "сервер", соответсенно если с этого сервера данные также должен получать какой нить оператор на свом раб. месте. то его раб. место персонально маршрутизировать в сегмент к "серверу". В общем VLAN и другие вкусняшки :)
Примерно для наглядности -

[artsin]

Алексей POS_troi: Спасибо за развернутый ответ! А вот такой вопрос - как тогда конфигурировать сервер через виртуальную точку доступа? В смысле, добавлять новых пользователей, смотреть статистику например? Это надо физически подключаться тогда к нему каждый раз? Или он все равно будет иметь выход в интернет, но в локальной сети к нему не достучишься?

[ТыжСисАдмин]

artsin: Почему-же не достучитесь, всё решается на уровне маршрутизации трафика в сети.
Сложного ничего как такого нет, но способы будут зависить от имеющегося железа и существующей топологии сети.

Answer 2

[nirvimel]

Не знаю на каком варианте вы в итоге остановитесь, но напомню, про легковесные реализации SSL, специально предназначенные для использования в МК с очень ограниченными ресурсами:

1. mbed TLS
   
2. wolfSSL
   
3. MatrixSSL
   

Возможно, что-то из этого удастся скомпилировать под ESP8266.

Answer 3

[Vov Vov]

Я конечно не спец. в безопасности, но может попробовать сделать SHA-1 с солью, а на сервере уже сравнивать его с хешами по списку карт? Вроде бы дешево и сердито :)

Comments

[Владимир Дубровин]

В таком виде возможна replay-атака: один раз перехватываем хэш, а дальше повторяем его - и сим-сим открывается. Либо надо использовать challenge-response, когда используется не соль, а challenge присланный со стороны сервера. Но в любом случае перебирать возможные варианты - не самое удачное решение.

Answer 4

[Владимир Мартьянов]

Сколько байт будут занимать передаваемые данные? В принципе, AES хватит для защиты, если ключ не будет известен атакующему.

Comments

[nuclear_skillet21011]

в принципе AES, по защищённости, хватит для чего угодно( политика, банки, цру/шмру)) )

[Владимир Мартьянов]

nuclear_skillet21011: Если совсем не тупить - то да :-)