Memorizzazione delle password del keystore

Naviga le tue risposte
2

Sto costruendo un'applicazione che utilizza i keystore come modo per archiviare in modo sicuro chiavi e certificati RSA.

Ovviamente, ho bisogno di una password per recuperare la mia chiave privata.

Qual è il modo corretto per memorizzare questa password? Lo so, ad esempio, seppellirlo nel codice non è una buona idea.

Potrei trovare qualcosa di utile fino a quando ne avremo bisogno e se ne avrò bisogno per la scuola.

Grazie

    
posta Dor Mesica 25.01.2017 - 18:50
fonte

2 risposte

1

Quindi ci sono diversi modi per rispondere a questa domanda, ma alla fine dipenderà dalle tue esigenze e da ciò che hai a disposizione.

  • La soluzione più semplice è non memorizzare mai la passphrase e manualmente inseriscilo quando richiesto (all'avvio del servizio). Può sembrare oneroso ma se il servizio è stabile, non è probabile che tu lo inserisca spesso.

  • Se hai un dispositivo fisico o se ne hai la possibilità affinità dell'host (mantenere la macchina virtuale sulla stessa macchina fisica sempre.) Probabilmente puoi approfittare di una piattaforma affidabile Modulo incorporato nel dispositivo. È possibile memorizzare simmetrico chiavi in un TPM (una buona ripartizione è qui: link ) non c'è più sicuro davvero di una passphrase su disco per un attaccante attivo, ma è così è memorizzato separatamente rispetto al disco, se lo fosse rubato / compromesso richiederebbe più di una semplice copia su disco scoprire.

  • L'opzione migliore è che potresti effettivamente archiviare le chiavi RSA nel TPM stesso e il TPM può gestire le operazioni di manipolazione anziché tenendoli direttamente in un keystore. Se il demone che stai usando può supportare PKCS11 questo è il modo migliore supportato. (Vedi virtuale Smartcard: link ) Anche i documenti Java: link

Questi non sono sicuramente gli unici modi in cui puoi farlo, ma dovrebbero darti qualche idea.

    
risposta data 25.01.2017 - 19:59
fonte
0

Alcune opzioni comuni:

  1. Nella tua memoria. Upside: non esiste una copia leggibile della password. Svantaggi:
    • Se lo dimentichi, ciao ciao contenuto criptato.
    • Il fatto che tu debba ricordarlo limita la complessità della password.
  2. In un gestore di password. Aspetti positivi: non devi ricordarlo e può essere una password casuale strong. Lato negativo: lo stesso gestore password richiede una password. Upside: è sufficiente memorizzare quella password per il gestore delle password.
  3. In un foglio di carta conservato in una cassetta di sicurezza o banca. Lato negativo: c'è una copia fisica della password in chiaro, e se qualcuno la riceve può decifrare le chiavi e i certificati. Aspetti positivi: se si dimentica la password è possibile recuperarla; se vieni investito da un autobus, anche altre parti autorizzate possono recuperarlo (ad es., la tua famiglia).
risposta data 25.01.2017 - 21:14
fonte

Leggi altre domande sui tag

Quali altre vulnerabilità oltre alla directory traversal rientrano in IDOR? Identifica le e-mail registrate in un'applicazione web online