Come devo gestire la mia chiave privata RSA per la mia applicazione web Rails ad alta sicurezza?
Può sembrare una domanda "soft", non correlata alla crittografia per sé, ma è comunque molto importante. Quali procedure di gestione e principi generali di sicurezza per lo sviluppo dovrei seguire? Quali sono le risorse definitive che specificano come prevenire non solo il lato tecnologico dell'hacking, ma anche gli inevitabili fallimenti nelle risorse umane e il semplice vecchio furto?
Fino ad ora ho generato keypair RSA sul mio MAC locale, inserendoli in una cartella / cartella segreta delle applicazioni, trasferendoli in repository private e quindi distribuendoli sul server. Anche se non si sono verificati incidenti (ancora), posso vedere che ci sono due principali problemi di sicurezza: l'accesso ai repository Git tramite l'hacking del mio account o Git backend o il furto / accesso al mio computer. Per quanto riguarda questi due, posso solo aumentare la forza delle mie password Git e machine, aumentando la sicurezza fisica degli uffici è un'altra possibilità.
Ripensando ai primi principi di sicurezza, ho preso in considerazione la creazione di coppie di chiavi per un'applicazione sul server delle applicazioni protetto (accesso su una porta personalizzata utilizzando solo le chiavi pubbliche) e non le ho mai trasferite a un repository di alcun tipo, tuttavia ci sono casi in cui la chiave privata è necessaria anche in fase di sviluppo, quindi vorrei scp la chiave dal server sul mio computer locale, esponendo ancora una volta la mia applicazione ai rischi di sicurezza fisica.
Sto pensando troppo a questo? Cosa mi manca?