Abbiamo un'applicazione web che viene utilizzata per memorizzare segreti (password, pin, ecc.) e condividerli con altri utenti di sistema.
Attualmente per la crittografia utilizziamo AES con una chiave di crittografia singola e tutti i segreti dopo la crittografia sono archiviati nel DB. Dopo aver letto i possibili metodi per migliorarlo, ho deciso di implementare il metodo descritto in link (le chiavi sono memorizzate su server e il server li gestisce)
Quando utilizzo questo approccio, non voglio che gli utenti inseriscano la passphrase della propria chiave privata ogni volta che vogliono eseguire un'azione, quindi devo memorizzarla durante la sessione utente.
Il sistema utilizza attualmente token JWT, quindi ho un piano per aggiungere la passphrase codificata con AES al suo interno, e durante il server delle richieste è in grado di decodificarlo e sbloccare la chiave privata per eseguire azioni.
Questo metodo è abbastanza sicuro, o c'è anche un modo migliore per risolvere questo problema?