Di recente stavo dando un'occhiata a Documentazione del fornitore di sicurezza Merlin per Apache , e notato che memorizzano la password del keystore (org.apache.ws.security.crypto.merlin.keystore.password) come stringa reversibile codificata.
Ho avuto l'impressione che non sia mai una buona idea memorizzare le password in una stringa perché non possiamo cancellarle in modo affidabile dalla memoria. Mi manca qualcosa su questa particolare implementazione?
Non sono proprio sicuro di quale sia il contesto della documentazione collegata ... ma sembra un'interfaccia per interagire con un keystore come Java Keystore.
Se la password viene utilizzata per decrittografare le chiavi private, dovrai archiviarla in qualche modo finché non hai finito di usarla. Ciò significa memorizzare la password, o decrittografare tutte le chiavi private necessarie e scartare la password. Ad ogni modo, manterrai qualcosa di segreto nella memoria.
Questa è la tensione costante che affrontiamo nella sicurezza. L'unica chiave privata o password veramente sicura è quella a cui non puoi accedere. Ma se la chiave o la password devono essere utili, devono essere conservate in memoria ad un certo punto nel tempo.
Quindi la risposta generale a questo sarebbe no. Questo è ciò che chiameremmo "sicurezza attraverso l'oscurità". Significa che speri che nascondendolo si aggiunga uno strato di protezione. Tuttavia, questo non è certamente il caso. Tutto quello che serve è un po 'di sforzo da parte di un malintenzionato per poter recuperare i dati originali. Non dovresti MAI fidarti che oscurare qualcosa lo rende sicuro.
Inoltre, dal momento che questo è efficacemente archiviare le password in testo semplice (poiché abbiamo stabilito che l'oscurità equivale a non fare nulla) vorrei rafforzare quanto sia terribile un'idea. La maggior parte delle persone nel settore della sicurezza sarebbe d'accordo sul fatto che l'archiviazione di segreti in testo semplice sarebbe un reato punibile. C'è molta più preoccupazione in questo rispetto alla semplice cancellazione sicura delle password come il furto da parte di un attore malintenzionato o di un non-trusted / non-bisogno per sapere che le persone sono in grado di leggere i dati. Dato che ci sono molti modi per sfruttare un server, qualsiasi piccolo errore potrebbe causare il furto di quei segreti anche se l'autore dell'attacco non può ottenere la root.
Non sono sicuro del motivo per cui Merlin ha deciso che i segreti reversibili sono una buona idea, ma consiglierei di cercare in Vault la gestione dei segreti. È un ottimo servizio fornito dai produttori di vagabondi.
Leggi altre domande sui tag cryptography