보안 프레임 워크를 사용하여 보안 전송 수준 작성

Question

보안 관련 응용 프로그램을 개발했습니다. 나는 TEA 기반 알고리즘을 사용하여 서버와 통신하고 서버 프로토콜을 따르기 위해 데이터를 암호화/해독해야했습니다. 나는 CFNetwork API를 사용하는 trasport 레벨 통신에 AsyncSocket을 사용했습니다. 나는 TEA 알고리즘이 매우 안전하지 않으며 쉽게 해킹 될 수 있다는 것을 알아 챘다. 또한 AsyncSocket 라이브러리는 어디서나 Apple의 Security Framework을 사용하지 않습니다. 전송 계층을 다시 작성하고 클라이언트 - 서버 보안 프로토콜을 다시 정의 할 계획입니다. 필자는 성능에 영향을 미치지 않거나 최소한의 영향을 미치고 중단하기 어려운 데이터 보호를 위해 어떤 종류의 보안 알고리즘을 사용해야하는지 연구했습니다. 또한 보안 프레임 워크를 살펴 보지만이 프레임 워크를 사용하여 전송 계층을 구현하는 예제를 찾을 수 없습니다. 누군가 이걸 도와 주시겠습니까? 보안 전송 계층을 코딩하기 위해 따라야 할 사항은 무엇입니까? 내 앱에 대해 확인할 수있는 보안 조치는 무엇입니까?

Answer 1

@CodesInChaos 메모 에서처럼이 경우 TLS를 사용해야합니다. 새로운 전송 프로토콜을 설계하거나 구현해서는 안됩니다.

CFNetwork가 TLS를 지원한다고해서 실제로 사용하고 있다는 의미는 아닙니다. 당신은 그것을 적극적으로 사용해야합니다. 서버는 클라이언트가 신뢰하는 인증서가 필요하며 TLS 세션을 협상해야합니다. 일반적으로 HTTPS와 표준 NSURLConnection 루틴을 사용한다면 무료로 필요한 것 대부분을 얻을 수 있습니다. 그러나 CFNetwork에 수동으로 빌드를 시작하는 경우 올바르게 구성해야합니다. 가능할 때마다 HTTPS를 사용하는 것이 좋습니다. 간단하고 다양한 문제를 해결할 수 있습니다.

즉, 전송이 안전하다고해서 앱이 "충분히 안전하다"는 의미는 아닙니다. 특히, 서버는 보안 전송을 통해 대화하는 악의적 인 클라이언트를 처리 할 수 ​​있어야합니다. 사용자를 적절하게 인증해야하며 악성 데이터를 정상적으로 처리해야합니다. 데이터가 서버에 도달하면 안전하게 저장해야합니다. 클라이언트에서 데이터를 암호화해야 할 수도 있습니다. 전송을 넘어서 시스템을 보호하는 데에는 많은 측면이 있습니다.