Идентификация и аутенцтификация с веб-страницы

У меня в системе предполагалось не защищать особенно сильно открытый ключ клиента. то есть он может быть доступен злоумышленнику, но у нас он гарантированно верный – заверяется лично клиентом.

Ничего не понял. В смысле, клиент приезжает к вам в офис и говорит, мол, "вот это — мой ключ"? То, что открытый ключ доступен злоумышленнику [для чтения] — это ерунда, на то он и открытый. Главное, сделайте так, чтобы была исключена его модификация и подмена!

Кстати, на лекции по безопасности сказали, что 1024 битный ключ RSA – недостаточно.

Вопрос как минимум спорный. Если посмотрите корневые сертификаты удостоверяющий центров в своём браузере (и в системном хранилище Windows), то можете там с удивлением обнаружить не то, что 1024-битовые, а даже 512-битовые ключи! И ничего, живут и здравствуют, а сертификаты будут действительны ещё несколько лет.

Вообще, если Ваша система не обязана обрабатывать сотни и тысячи транзакций в минуту, и даже не планируется масштабировать её до таких величин, возьмите ключи побольше. Короче, просто оценивайте стоимость обработки. Найдите то, что для Вас приемлемо. Если скорость не важна, берите большие ключи, в противном случае ищите компромиссное решение.

для использования в SSL и подписи данных в канале (программных, не на уровне протокола) я должен использовать один и тот же ключ системы? Или могу разные, или это не красиво?

Для разных приложений, элементов системы, этапов протокола всегда используйте разные и, по возможности, независимые ключи! Общие рекомендации по крипторазработкам я приводил здесь.

В смысле, клиент приезжает к вам в офис и говорит, мол, «вот это — мой ключ»?

да, нечто подобное.

Не допускайте, чтобы вас использовали в качестве оракула: ограничивайте утечку информации в сообщениях об ошибках, избегайте временнЫх зависимостей и пр. (самая трудная задача).

а можно об этом чуток подробнее, что за временные зависимости?

За объяснения отдельное спасибо! Производительность системы должна быть достаточно высокой, поэтому, пока не буду менять длину ключа.

а можно об этом чуток подробнее, что за временные зависимости?

См. "Timing attack". Если нужны подробности, Гугл Вам в помощь!

Именно так я и подумал, недавно об этом слышал. СпасибО, пока вопрос больше не имею.

после регистрации в вебмани нужно получить авторизировать кошелек. начинаю это делать и выскакивает такая штука!!! "Внутренняя ошибка приложения в процессе загрузки SSL библиотеки" что это такое и как это исправить?? Подскажте пожалуйста!...