联邦学习中本地加密数据如何防止中间人攻击?
最近在做前端联邦学习项目,需要加密用户数据后再上传到服务端聚合。我用AES加密数据后再通过HTTPS发送,但测试时发现中间人能通过抓包获取加密密钥。看代码哪里有问题?
const crypto = require('crypto');
const key = crypto.randomBytes(32); // 固定生成密钥
function encryptData(data) {
const iv = crypto.randomBytes(16);
const cipher = crypto.createCipheriv('aes-256-cbc', key, iv);
const encrypted = Buffer.concat([cipher.update(data), cipher.final()]);
return { iv: iv.toString('hex'), encrypted: encrypted.toString('hex') };
}
// 将密钥和加密数据一起发送到服务端
fetch('/aggregate', {
method: 'POST',
body: JSON.stringify({
key: key.toString('hex'),
...encryptData(userSensitiveData)
})
});
服务端要求必须在客户端完成加密,但这样传输密钥本身不就暴露了?难道联邦学习场景下密钥不应该随每个请求动态生成?有没有更安全的密钥交换方案?
- 1
回答
36浏览
HTTPS传输中,为什么加密后的数据在后端无法正确解密?
我在做前后端数据加密时遇到个怪问题:AES加密的数据通过HTTPS发送到后端,Java那边解密总报错,明明算法都用的AES-256-CBC... 前端用的是CryptoJS这样加密的: const c...
- 2
回答
118浏览
生物识别认证时,如何安全存储用户的指纹模板数据?
最近在做指纹登录功能,把加密后的指纹模板存在本地storage里,但测试时发现如果用debugger工具能看到加密字符串。尝试过用AES加密再存到后端,但担心后端数据库被攻破后密钥也会泄露,有没有更好...
- 1
回答
31浏览
为什么用RSA加密后的数据用公钥解密时出现错误?
在前端用JavaScript实现RSA加密,把用户密码加密后传给后端,但后端用私钥解密时一直报错说数据无效,明明密钥对是自己生成的啊 尝试过用crypto-js库做了这些操作: const encry...
- 1
回答
25浏览
前端AES加密后数据在传输时还是被拦截了怎么办?
在表单提交时用AES加密了用户密码,但用抓包工具还是能看到明文数据,这正常吗? 我按网上的教程用了crypto-js写了个加密方法: function encrypt(data) { return C...
- 2
回答
14浏览
如何在发送表单时对敏感数据进行加密?
我现在在做一个登录表单,需要把用户名和密码发到后端。但直接用POST提交不安全,想在前端加密后再发送。尝试过用Base64编码,但同事说这根本不算加密。想问下实际开发中该怎么处理? 比如这个表单: &...
- 2
回答
55浏览
如何防止生产环境JS代码被篡改导致中间人攻击?
最近在做项目安全加固时发现,线上环境的JavaScript文件可能被中间人篡改。我们用Webpack打包部署到Nginx服务器,但测试时发现有人能修改返回的JS代码添加恶意脚本。之前尝试过设置CSP头...
- 2
回答
24浏览
React表单提交时用AES加密数据,后端返回解密失败怎么办?
我在React表单提交时用crypto-js的AES加密表单数据,但后端始终报解密失败。明明前后端都用了相同的密钥和模式,到底是哪里出问题了? 代码是这样写的,表单提交时把JSON字符串加密后发送: ...
- 1
回答
206浏览
混合加密中为什么RSA加密后的数据用AES解密会失败?
我在做混合加密时遇到问题:前端用RSA公钥加密了AES的对称密钥,但后端用RSA私钥解密后得到的数据,用AES解密明文总是失败。 尝试过检查密钥长度和算法配置,但没发现问题。比如下面这段加密代码,是不...
- 1
回答
39浏览
安全多方计算库调用跨域接口时,如何避免明文数据被浏览器拦截?
我在用前端安全多方计算库SecureMultiPartyComputeLib处理用户数据时,需要将加密后的数据通过POST请求发送到后端服务。但发现当调用compute方法后,发送到https://a...
- 2
回答
46浏览
混合加密时公钥硬编码到前端安全吗?加密后的数据怎么传给后端?
我在用Vue做文件上传功能时想用混合加密保护数据,但卡在非对称密钥的传输上了。现在用RSA加密AES密钥,但直接把公钥写死在前端代码里(如下),这样会不会被轻易抓包获取公钥? import Crypt...
联邦学习场景下,推荐用非对称加密来解决密钥交换的问题。比如你可以用RSA或者ECDH来做密钥协商。服务端提前生成一对公私钥,把公钥发给客户端,客户端用公钥加密AES密钥后再传给服务端,这样即使被抓包也拿不到原始密钥。
下面是一个改进的代码示例,假设服务端已经提供了公钥:
服务端收到后用自己的私钥解密出AES密钥,再用这个密钥解密数据。这种方式能有效防止中间人攻击,因为公钥可以公开,但私钥只在服务端保存。
另外提醒一下,AES密钥每次请求都要动态生成,别复用!不然安全性会大打折扣。希望这些建议能帮到你,有问题咱们再交流!