Verifikation & kryptering

Lad mig forklare hvordan dette kan gøres.

Du laver en private/public kay infrastruktur selv, f.eks. med pgp eller andet værktøj der understøtter dette. Du laver en privat og en public nøgle til dit eget system og holder den private nøgle meget hemmelig.

Når du har brugere der skal kunne komminikerer, så laver du et nøglesæt til dem, såm du udleverer og sikre dig at den du udleverer til også er den person de udgiver sig for. Hvis du skal have meget stor sikkerhed, så sker udleveringen fysisk og vedkommende viser f.eks. pas når tingene skal udleveres.

Når brugeren skal identificerer sig selv, krypterer brugeren sine logon credintials med sin private nøgle. Disse kan så kun decrypteres med deres offentlige nøgle, og da du er helt sikker på at den offentlige nøgle du har tilhører den person der vil logge på, er vedkommende valideret.

Selve krypteringen sker med din private nøgel og med brugerens private nøgle. Brugeren kan de krypterer med din offentlige nøgle som du jo har udleveret, og du kan dekrypterer med brugerens offentlige nøgle som du jo også har styr på. Der er nogle ting derer vigtige her.

Sikkerheden af at private nøgler ikke afsløres.
Sikkerheden for at den du udleverer nøgler til også er den vedkommende udgiver sig for.
Håndteringen af nøgler i det hele taget

-> bufferzone
Jeps, din forklaring er go og giver en generel forståelse af problemstillingen, men hvordan programmeres alt dette i C#?

Her skal der andre på banen, jeg er sikker på at du faktisk kan lave krypterings motoren i C#. GNUpg er open source, har kan du måske hente noget kildekode der kunne hjælpe dig

Okay - jeg kiggede lige lidt på PGP (9.0), og der får man kun en 30 dages trial...
Tjekker lige GNUpg

Jeg mener at pgp version 7 eller 8 er gratis

Afhængigt af dit setup kan du evt overveje:
* Udsted certifikater til dine brugere (vha Windows 2003 server CA)
  Overvej evt at købe et rodcertificat fra VeriSign
* Konfigurér dit web til at bruge SSL
* Lad SSL kræve brugercertifikater

Jeg er helt enig med clausc, man skal passe på med at implementere sikkerhed selv. (Det er meget let at lave en fejl, der lader systemet pivåbent. Derudover opnås sikkerhed over tid: Dvs ved at offentligheden tester løsningen, finder fejl, måske ser på koden etc. Derfor er det bedre at bruge en testet løsning fra en kendt og betroet leverandør).

Takker for hjælpen