Как шифровать данные в API, между бекенд и приложения?

Question

[Дилик Пулатов]

Здравствуйте!
Есть вопрос по поводу шифрования данные в АПИ....у меня бекенд в Yii2...
Уже выпустим приложения но по поводу защиту нужно что-то сделать...предлагали какой-то шифровани RSA+AES, ну я этого не очень понял..что это и как работает..вообщем с шифрованием в АПИ раньше не работал поэтому не знаю как это работает
Если не сложно объясните что это и как это работает? Есть примеры? RSA+AES что это? или есть другое лучшие варианты? или могу ли я свою шифрования придумать?(этого тоже предлагали)

Comments

[Максим]

ssl сертификат + csrf_token

[Дилик Пулатов]

Максим, csrf_token куда отправить? подробно можно....?
просто я не понял именно чего нужно шифровать....

[Максим]

Дилик Пулатов, Доки
Что такое csrf атака
сертификат

ssl сам шифрует данные, а csrf token нужен для невозможности подделать запрос

Answer 1

[Игорь Русинов]

Если вы не передаете какие-нибудь секретные документы, то вам достаточно будет использовать надежную авторизацию (oauth2, jwt и т.д.) и настроить https соединение на сервере, таким образом ваши данные будут передаваться по сети в зашифрованном виде.

Answer 2

[Денис Загаевский]

Первый вопрос - зачем это нужно и почему не хватает https?
RSA это алгоритм ассиметричного шифрования, AES - симметричного. Обычно симметричный ключ передают при помощи ассиметричного и данные шифруют симметричным. Отсюда и берется ваша связка RSA+AES. И тут сразу возникает следующий вопрос - а как вы планируете на стороне приложения хранить приватный ключ?
Нет, придумывать свою шифрованию нельзя, никогда. Даже не думайте об этом. Нельзя самому даже реализовывать известные алгоритмы для использования в продакшне, всегда нужно использовать готовые библиотеки для этого.

Comments

[Дилик Пулатов]

просто заказчики требует от меня этого....я такового раньше не делал....поэтому не знаю....я тоже думал что авторизация(с токеном) хватает..так как в приложения все событие после авторизация...

[Денис Загаевский]

Дилик Пулатов, https.

[Alex McArrow]

Дилик Пулатов, как верно подметил Денис Загаевский - RSA+AES = HTTPS
Можете смело ссылаться на реализацию задачи по средствам HTTPS.
Если не прав - подправьте, дабы не вводить ТС в заблуждение.

[Денис Загаевский]

Alex McArrow, Там всё немного сложнее.

[Alex McArrow]

Денис Загаевский, но ведь RSA+AES используется)

[Денис Загаевский]

Alex McArrow, Могут, но не обязаны. Клиент и сервер договариваются об используемых алгоритмах. Тут, например, есть списки алгоритмов, которые могут использоваться, по версиям. Для ассиметричного и симметричного шифрований, хэширования и выработки общего секрета.

[Alex McArrow]

Дилик Пулатов, не стоит городить свое шифрование, если есть HTTPS (оно уже даст шифрование данных между сервером и клиентом).
Исключение - передача "особо секретной" информации.. ИМХО - для этих целей "уводится ресурс из интернета" и доступ только через VPN.