Überprüfen Sie die Authentizität der heruntergeladenen Datei

Question

Was ist der beste Weg, um die Authentizität der heruntergeladenen Datei im Server-zu-Server-Szenario zu überprüfen?

Mögliche Option: Prüfsumme generieren und dann vergleichen. Aber wie können Server die Hashes dann sicher zum Abgleich austauschen, wenn davon ausgegangen wird, dass das Netzwerk kompromittiert ist?

Gibt es noch andere Möglichkeiten, die Echtheit zu überprüfen? Ich habe über Signaturen gelesen, aber verstehe nicht wirklich, wie sie funktionieren. Ist es etwas zu beachten?

Ich versuche sicherzustellen, dass niemand Dateien manipuliert hat. Irgendwelche Ratschläge oder Tipps sehr geschätzt!

Edit: Ich verwende HTTPS für den Verkehr zwischen Servern, sondern würde auch auf alternative Methoden verlassen.

Answer 1

Ich verwende HTTPS für den Datenverkehr zwischen Servern, möchte aber auch auf alternative Methoden zurückgreifen.

HTTPS schützt die Kommunikation, aber nicht die Authentizität der Nachricht. Sie tun also das Richtige, um Wege zu finden, die Nachricht zu authentifizieren.

Ich empfehle Ihnen, die Datei mit dem privaten Schlüssel des Absenders zu signieren und die Signatur am Ziel mit dem öffentlichen Schlüssel zu validieren. Stellen Sie den öffentlichen Schlüssel vor dem Produktivstart manuell auf dem Server bereit, damit er bei der Übertragung nicht gespooft werden kann.

In der Praxis wäre also eine einfache Arbeitslösung, den ECDSA- oder RSA (PSS) -Signieralgorithmus zu verwenden, um einen sicheren Hash der Datei (z. B. SHA-256) zu signieren.

Ein anderer Ansatz könnte die Verwendung von HMAC sein, wenn Sie den Schlüssel an beiden Enden schützen können.