Каков наилучший способ хранения ключа шифрования AES?

Question

Каков наилучший способ хранения ключа шифрования AES?

Мы используем Tomcat для нашего веб-приложения Java. В папке WEB-INF есть файл свойств.

Шифрование AES будет использоваться для генерации ключа и шифрования пароля. Зашифрованный пароль будет сохранен в файле свойств. Где должен храниться ключ шифрования? Является ли хорошей идеей поместить ключ и зашифрованный пароль в один файл свойств? Или ключ должен храниться вне каталога "webapps"?

2

java tomcat encryption key-storage

Источник

user32262 04 сен '09 в 00:28

4 ответа

Решение

Рассматривали ли вы класс KeyStore в Java API. Это часть Java криптографической архитектуры Sun.

2

Источник

user161896 04 сен '09 в 06:47

У меня есть следующие предложения,

Не храните ключ в WAR. Мы оставляем за собой ответственность за ключ к каждой установке. На самом деле мы можем защитить его, сохранив ключевые файлы на смарт-карте.
Убедитесь, что ваши ключи имеют версии, чтобы вы могли регулярно вращать их.
Храните парольные фразы для генерации ключа вместо исходного материала ключа. Это облегчает добавление новых ключей (вам не нужно беспокоиться об алгоритме или размере ключа и т. Д.). Это также добавляет некоторую неизвестность.

0

Источник

user149808 04 сен '09 в 04:16

Я бы последовал этой статье и преобразовал строку SecretKey в кодировку Base64. Этот ключ вместе с вектором инициализации затем можно сохранить в любой базе данных, отличной от активной транзакционной базы данных, а затем использовать в других службах для расшифровки. Будет использовать псевдоним для каждого сгенерированного ключа, чтобы их можно было правильно пометить.

0

Источник

user1611445 23 июн '23 в 22:19

Другие вопросы по тегам java tomcat encryption key-storage

user37843 04 сен '09 в 00:33 2009-09-04 00:33 · Accepted Answer · 2009-09-04 00:33

В Windows вы можете использовать реестр и DPAPI. Использование реестра - отстой, но это необходимая боль, если вы хотите добиться абсолютной безопасности и использовать операционную систему для хранения ценных данных.

На другой OS X вы можете использовать связку ключей.

В Linux я бы использовал права доступа к файлу для защиты файла.

Что вы предлагаете:

Является ли хорошей идеей поместить ключ и зашифрованный пароль в один файл свойств?

Это все равно, что хранить свои деньги в сейфе, затем записать комбинацию в сейфе на наклейке и прикрепить записку в сейфе. Все, что вы сделали, - это не помогли вору, но не добавили никакого значимого уровня безопасности.

Если файл свойств является достаточно безопасным для хранения ключа шифрования, вы можете хранить в нем пароли в виде открытого текста.