Questo progetto per la memorizzazione / condivisione dei segreti è sicuro?

Naviga le tue risposte
1

Obiettivi

Sto implementando un sistema basato sul web che ha i seguenti obiettivi:

  1. Gli utenti sono in grado di memorizzare segreti (potrebbero essere password o un intero file) sul server.

  2. Il server non ha conoscenza delle chiavi per la decodifica. In modo che se il server è compromesso, l'utente malintenzionato non sarebbe in grado di decrittografare i segreti.

  3. I segreti possono essere condivisi tra gli utenti.

design

La minaccia principale di cui sono preoccupato per gli scopi di questa domanda è il compromesso del server. Voglio assicurarmi che se un utente malintenzionato accede al server o al database (offline o online), non vengono esposti segreti. Capisco che ci sono altre minacce, come un account utente compromesso. Saranno predisposte altre sicurezze per proteggerle.

Ho deciso che è più sicuro che il server non veda mai un segreto in chiaro o il materiale chiave. Pertanto, tutta la crittografia viene eseguita sul lato client. Sto utilizzando asmCrypto .

  1. HTTPS viene utilizzato per tutte le comunicazioni client / server. Gli utenti richiedono account, esiste già un sistema di autenticazione.

  2. Gli utenti generano una coppia di chiavi RSA personale (2048-bit, e = 65537). La chiave privata viene crittografata con AES-GCM utilizzando una chiave generata da PBKDF2 in base alla passphrase fornita dall'utente. Il nonce AES è generato dal server per garantire univocità. La chiave pubblica dell'utente e la chiave privata crittografata vengono inviate al server per essere memorizzate.

  3. Quando un utente salva un segreto, genera una chiave univoca casuale (K) per quel segreto. Criptano il segreto con AES-GCM usando K e un nonce fornito dal server. Quindi crittografano K utilizzando la propria chiave pubblica e il padding OAEP. Inoltre, possono crittografare K con la chiave pubblica di un altro utente. Le copie crittografate di K vengono inviate al server.

  4. Per leggere il segreto (possibilmente da un altro computer), un utente deve recuperare la sua chiave privata crittografata dal server. Decifrano la loro chiave privata lato client fornendo una passphrase, che viene inserita in PBKDF2 per generare la chiave AES. Una volta decodificata la chiave privata RSA, possono decrittografare la chiave segreta (K) e successivamente il segreto.

Domande

So che ci sono molte insidie e potenziali trucchi con la crittografia. Ho fatto molte letture per cercare di capire come utilizzare al meglio questi algoritmi (ad esempio, il nonce unico per AES-GCM, il valore di e per le chiavi RSA e l'importanza dell'utilizzo di padding appropriato). Tuttavia, non sono del tutto sicuro che questo sia un progetto ragionevole.

Quali difetti vedi in questo disegno?

Le scelte di algoritmi e parametri sono corrette?

C'è un modo per giudicare la qualità della libreria asmCrypto?

Mi manca una soluzione più semplice e ovvia?

    
posta Nate H 27.06.2017 - 02:11
fonte

1 risposta

0

Problema con affidabilità del server

Se si basa l'app Web sul server, quando il server viene compromesso, la pagina Web di base o la libreria crittografica possono essere compromesse / ignorate direttamente senza avvisare gli utenti.

La tua infrastruttura è costruita su un letto di sabbia se non ti fidi del server.

Attacchi:

  • Elimina completamente la crittografia e il contenuto non è crittografato, gli utenti utilizzano ancora il software in attesa di crittografia, ma non lo è. (le complicazioni sono l'attuale contenuto crittografato)
  • O semplicemente per inviare il 'segreto' all'autore dell'attacco direttamente.

L'intero Crittografia Javascript Problema Considerato Nocivo documenta questo e altri problemi. Nota: questo articolo fa riferimento al caso d'uso delle note protette.

    
risposta data 27.06.2017 - 03:59
fonte

Leggi altre domande sui tag

Rischi per la sicurezza introdotti quando si passa da un'architettura a tre livelli a un'architettura a due livelli Perché il commutatore di attività mostra l'app in background in anteprima?