Zdravim ve spolek.
Naprogramoval jsem si aplikaci klient server. Nyni bych chtel zabezpecit komunikaci sifrovanim. Je zpusob jak to udelat napriklad pres ssh? Pokud ano, jak?

Dekuji

nejlepsi je pouzit openssl knihovnu. ta umi TLS. Nebo se to da sifrovat externe bez programovani pomoci stunnel

Ja bych se radam typu "nejlepsi je pouzit OpenSSL" radeji vyhnul. Pokud clovek pise kompletne svoji aplikaci, je celkem zahodno se komplexitam SSL/TLS a PKCS vyhnout a pokud uz implementoval TLS, tak nejakou jinou knihovnou nez OpenSSL (napr. tedy PolarSSL, GnuTLS, NSS zhruba v tomto poradi priorit). OpenSSL ma jednak svoji specifickou licenci a jednak je prehnane slozite (jak tim ze dela spoustu veci, ktere clovek normalne nepotrebuje, tak komplikovanym a misty zmatenym API).

Pokud je aplikace k tomu vhodna, asi nejprimocarejsi cesta je proste pouzit to ssh. Princip je ten, ze se proste exec'ne /usr/bin/ssh <binarka-serveru> a misto po siti se komunikuje dvojici rour s tim ssh klientem. Svym zpusobem se da rict, ze tenhle pristup je dokonce jednodussi nez nesifrovane TCP primo.

Druhy zpusob jak se TLS/SSL vyhnout je navrhnout si vlastni sifrovaci protokol. Je to nachylne na to to udelat spatne, ovsem pokud se vyjde z overenych primitiv, neni to az takovy problem (implementace sifrovacich algoritmu neni problem ziskat pod rozumnou licenci z jinych projektu, pripadne pouzit knihovnu jako TomCrypt ci NaCl, pricemz NaCl je zaroved i dobry zdroj inspirace pro vyber vhodnych - ovsem praxi zatim neprilis proverenych - kryptografickych primitiv).

A konecne treti zpusob (pouzivany u mnohych komercnich aplikaci) je to proste neresit a prohlasit, ze sit je bezpecna a pokud neni, tak se pouzije IPsec. Tenhle pristup bych ovsem prilis nedoporucoval.

co je za problem s openSSL licenci? Je to stara BSD licence, zadny problem s komercnim softem.

Delat TLS pres openSSL neni zadna hitek veda, sam jsem to delal nekolikrat. Je to nejpouzivanejsi knihovna, prumyslovy standard, lidi s ni umi pracovat a dela se na ni narozdil od treba NSS na ktere se dela obcas, pokud vubec.

OpenSSL sice bloatware je, ale je na to dostatek literatury a prikladu. Taky jsem jednou pouzival http://www.cryptlib.com/

Svuj protokol bych nenavrhoval. Je tu velka sance to udelat spatne a navic je pouziti jiz stavajicich knihoven lepsi z hlediska mensi pracnosti.

Execnout ssh - to bych pouzival pro Java soft. Proc C programy bych tam narval openssl.