hi,

kein aktuelles Problem, aber doch immer wieder interessant:
Wir nehmen den Fall an, dass wir zwischen 2 Servern arbeiten.
Server 1 setzt eine Anfrage an Server 2 ab. Dieser Antwortet mit einem XML-String (ganz normal über HTTP eventuell HTTPS).

• Sicherungsmaßnahmen wie feste IP usw. außen vor
• Maßnahmen wie VPN, SSH, ... auch nicht möglich
  => Es geht nur drum, wie mans verschlüsseln würde, nicht ob das so überhaupt sinnvoll ist

Wie würdet Ihr diese Anfrage und den Rückgabe-XML-String oder eben die Teile davon, sinnvoll verschlüsseln, so dass jemand der eventuell dazwischen hockt, es nicht entziffern kann.
Auf HTTPS alleine vertrauen?

Kommt darauf an, was die Folge wäre, wenn jemand mitliest.
 somit mir keiner reinpfuschen kann.

Ich bin mal auf eure Ideen gespannt und die Diskussion, was die Vor- und Nachteile sind, bzw. wann es eventuell übertrieben wäre ($x Verschlüsselungen ineinander, ...

Das ist eigentlich recht einfach. Wenn du nicht willst, dass niemand mitliest (= nur Server 2 kann mit den Informationen von Server 1 was anfangen), musst du verschlüsseln. Hier gibt es zwei möglichkeiten: 1. Du verschlüsselst asymmetrisch oder 2. symmetrisch. Beides ist möglich. Bei asymmetrischer Verschlüsselung ist gleichzeitig noch die Authentizität gesichert, d.h. Server 2 kann sich sicher sein, dass die Nachricht auch von Server 1 stammt. Dafür ist die asymmetrische Verschlüsselung rechenaufwändiger. Bei symmetrischer Verschlüsselung kann man die Authentifizierung auch mit Zertifikaten sicherstellen.
Außerdem sollten noch Maßnahmen (z.B. Checksummen) vorhanden sein, die auch dagegen absichern, dass die verschlüsselt Nachricht manipuliert wurde. Zu guter letzt könnte noch Steganographie eingesetzt werden, wenn niemand erkennen soll, dass überhaupt verschlüsselte Daten übermittelt werden.