Аутентификация SSL путем сравнения цифрового отпечатка сертификата?
Вычисления Lat Long требуют точности, так используйте некоторый тип десятичного типа и сделайте точность по крайней мере 2 выше, чем число, которое Вы сохраните для выполнения математических вычислений. Я не знаю о своих sql типах данных, но у людей SQL-сервера часто используют плавание или реальный вместо десятичного числа и попадают в беду, потому что это, оцененные числа не реальные. Поэтому просто удостоверьтесь тип данных, который Вы используете, истинный десятичный тип и не плавающий десятичный тип, и необходимо быть в порядке.
2 ответа
То, что вы предлагаете, в принципе нормально. Например, он используется во время сторон подписания ключей . Здесь участники обычно просто обмениваются своим именем и отпечатками своих открытых ключей и удостоверяются, что человек на вечеринке действительно является тем, кем он / она заявляет. Простая проверка отпечатков пальцев намного проще, чем проверка длинного открытого ключа.
Другой пример - так называемая самосертифицирующаяся файловая система . Здесь снова по защищенному каналу обмениваются только хешами открытых ключей. (Т.е. эти хэши встроены в URL-адреса.) В этой схеме открытые ключи не нужно отправлять безопасно. Получатель должен только проверить, соответствует ли хэш открытых ключей хешам, встроенным в URL. Конечно, получатель также должен убедиться, что эти URL-адреса поступают из надежного источника.
Эта схема и то, что вы предлагаете, проще, чем использование CA. Но есть минус. Вы должны убедиться, что ваша база данных с хешами является подлинной. Если ваша база данных большая, это будет сложно. Если вы используете центры сертификации, вам нужно только убедиться, что корневые ключи аутентичны. Обычно это значительно упрощает управление ключами и, конечно же, является одной из причин, почему схемы на основе CA более популярны, чем, например, самосертифицирующаяся файловая система, упомянутая выше.
Точно так же, как вы не должны и не должны рассматривать два объекта как равные только потому, что их хэш-коды совпадают, вы не должны считать сертификат подлинным только потому, что появляется его отпечаток в списке «известных отпечатков пальцев».
Конфликты - это факт жизни с хэш-алгоритмами, даже хорошими, и вам следует остерегаться возможности того, что мотивированный злоумышленник может создать поддельный сертификат с соответствующим хешем отпечатка пальца. Единственный способ защититься от этого - проверить действительность самого сертификата, то есть проверить цепочку доверия, как вы подразумеваете в своем последнем утверждении.