Automatizza il processo di dare all'utente l'accesso ai suoi messaggi criptati, quando l'utente perde la sua password

Question

Automatizza il processo di dare all'utente l'accesso ai suoi messaggi criptati, quando l'utente perde la sua password

#1 da (1 voti)

1

Sto implementando un modo in cui gli utenti possono condividere messaggi con altri utenti. Tutti gli utenti e gli amministratori hanno una coppia di chiavi unica. Un messaggio può essere inviato da un utente a più utenti.

Gli utenti amministratori, che hanno sempre accesso a tutti i messaggi, nel caso in cui un utente perda la sua password e poi crei una nuova password (con un collegamento email dimenticato), l'utente amministratore può decodificare il messaggio con l'amministratore -utente chiave privata e crittografarlo con la nuova chiave pubblica degli utenti.

C'è un modo per automatizzare questo processo, ovviamente in modo sicuro?

Stavo pensando di inviare una mail a un server locale (non connesso al server web), in modo che il server locale possa accedere al sito come utente admin e dare all'utente l'accesso, quando hanno cambiato le loro password.

encryption public-key-infrastructure

posta bullyduckyy 04.06.2014 - 16:11

fonte

1 risposta

Leggi altre domande sui tag encryption public-key-infrastructure

Perché alcune lingue vengono scelte per lo sviluppo di applicazioni di sicurezza rispetto ad altre? Questo attacco di slowloris è o no?

score 1 · Answer 1

In primo luogo, non crittografare nuovamente i messaggi, crittografare le chiavi di decodifica dei messaggi. È molto più efficiente produrre una chiave simmetrica per ciascun messaggio e quindi crittografarla sul portachiavi di ciascun utente che dovrebbe avere accesso. Se gli utenti admin hanno accesso a tutti i messaggi, è possibile aggiungere le chiavi private di tutti gli utenti a un portachiavi e quindi restituire semplicemente la chiave privata all'utente dopo aver modificato la password. Questo probabilmente non dovrebbe essere un processo automatizzato, anche se è necessario assicurarsi che l'utente sia la persona giusta prima o che non ci sia molto da fare per la crittografia. Inoltre, si desidera evitare di memorizzare chiavi sul server, il che significa che alcuni utenti admin devono essere registrati per sbloccare la chiave privata dell'utente per il proprio account.