Discussion :

[midou99]

Bonjour,
J'ai un web service à sécuriser alors j'ai opté pour la solution du chiffrement du login et mot de passe des messages client/serveur en utilisant l'algorithme Blowfish. j'ai implémenté la fonction Myblowfish du coté serveur mais aussi du coté client. la question que je me pose est ce que la clé de chiffrement doit être passé au serveur lors du déchiffrement d'un message SOAP provenant du coté client afin que le serveur puisse la déchiffrer?
Merci beaucoup de votre aide.

[thelvin]

En principe c'est un peu le boulot de https, tout ça.
Comment, ça dépend précisément de ce que tu essaies de sécuriser et contre qui. Mais tout de même.

la question que je me pose est ce que la clé de chiffrement doit être passé au serveur lors du déchiffrement d'un message SOAP provenant du coté client afin que le serveur puisse la déchiffrer?

? À quoi ça sert de chiffrer un message si tu fournis la clé de chiffrage en même temps ? Il vaut mieux que les deux côtés connaissent la clé à l'avance. (https servant justement à faire ça automatiquement.)

[Jimmy_]

Bonjour,

Il y a beaucoup de faille possible à implémenter soit même une solution de sécurité.
Dans ton cas c'est effectivement le fait de faire transiter la clé. Mais aussi le mode opératoire utilisé, car un algorithme de chiffrement par bloc doit réinjecter des données pour chiffrer chaque bloc, sinon la répétition d'un même bloc en clair donnera le même bloc chiffré.

Bref plein de failles possible.


En principe le protocole https te permet de faire communiquer tout ça très bien. Si tu veux surchiffrer tes données pour qu'ils soient encore illisibles même une fois sur ton poste client, ce qui est parfaitement possible.
Il te faut utiliser une implémentation déjà éprouvée, celles de Bouncy Castle par exemple, et utiliser un mode opératoire performant.

Bon courage,