Ho esaminato il PGP, ma non voglio che i miei utenti debbano preoccuparsi di archiviare in modo sicuro le proprie chiavi private. Pertanto, mi sembra che forse sarebbe sufficiente una semplice crittografia simmetrica senza chiave privata.
Qual è il modo consigliato per farlo? È usare le loro password in qualche modo? Se dicessi che gli utenti sono legati a un ruolo e le autorizzazioni di lettura sono basate su quel ruolo, sarebbe più semplice utilizzare semplicemente una sorta di chiave simmetrica condivisa per ciascun ruolo?
Caso di utilizzo: si tratta di transazioni su un libro mastro, in cui il libro mastro è pubblico e chiunque può vederlo, ma tutte le informazioni sulla transazione sono attualmente memorizzate in testo normale. Vorrei che le informazioni sulla transazione venissero crittografate per i ruoli utente rilevanti per quel tipo di transazione. Tutti possono vedere che la transazione si è effettivamente verificata, ma l'obiettivo è solo una sicurezza migliore che consentire a tutti di vedere chiaramente l'intero contenuto di ogni transazione.
Esempio: c'è una squadra blu e una squadra rossa. Quando un utente Blu utilizza il sistema, è in grado di visualizzare un elenco di tutte le transazioni per entrambe le parti. Ciò permette loro di vedere che la squadra rossa ha effettivamente effettuato transazioni, ma poiché non sono nella squadra rossa e non conoscono la lingua rossa, non possono leggere esattamente ciò che è stato trattato e sanno solo che si è verificato.
- può memorizzare chiavi utilizzando il servizio di gestione delle chiavi cloud
- non può aspettarsi che gli utenti gestiscano le proprie chiavi con contenitori freddi / di carta / ecc.
- funziona tranquillamente sotto la cappa, dove gli utenti si collegano semplicemente con e-mail e password e dovrebbero essere in grado di visualizzare le informazioni decifrate relative al loro ruolo
- alcune transazioni potrebbero essere crittografate per più ruoli