Il modo migliore per gestire le chiavi private per gli utenti di un'applicazione?

Question

Il modo migliore per gestire le chiavi private per gli utenti di un'applicazione?

#1 da (2 voti)

0

Stiamo costruendo un'applicazione che farà leva sulla blockchain per le transazioni finanziarie al suo interno.

Non forzeremo gli utenti a gestire le proprie chiavi. I nostri clienti (stiamo costruendo una piattaforma B2B) gestiranno le chiavi per i loro utenti. Stiamo creando una piattaforma white label e abbiamo bisogno di fornire la gestione delle chiavi come soluzione.

Non vogliamo sviluppare autonomamente il sistema di gestione delle chiavi.

Le esigenze del sistema:

Archivia in modo sicuro le chiavi private degli utenti
Firma i dati con chiavi private all'interno del sistema (nessuna chiave decrittografata in uscita o in entrata)
Genera nuove chiavi
Comunicare con il nostro back-end tramite un'API

Abbiamo esaminato le soluzioni HSM e CloudHSM self-hosted. In alternativa useremmo HashiCorp Vault o Amazon Secrets Management.

Quali sono le migliori pratiche?

encryption public-key-infrastructure key-management

posta Mislav Javor 09.10.2018 - 11:34

fonte

1 risposta

Leggi altre domande sui tag encryption public-key-infrastructure key-management

RSA usa la sostituzione e il rimescolamento? Sarò sicuro al 100% (anonimo) quando uso il web "regolare" attraverso Tor? [duplicare]

score 2 · Accepted Answer

Quando si tratta di chiavi private o segreti che sono critici come nel caso della criptovaluta, in cui se perdi la chiave privata i fondi sono esauriti per sempre, fai sempre affidamento sull'hardware, meno sul software e mai sul cloud. Puoi utilizzare le risorse cloud per altre cose, ma non dare mai le tue risorse critiche se la loro perdita significa che sei fuori dal mercato o che subiresti un impatto enorme. HSM è probabilmente la soluzione migliore al momento. Non suggerirei di utilizzare le soluzioni di Amazon, penso che siano noti per non avere la massima sicurezza. E puoi scegliere se ospitare l'HSM da solo o tenerli in depositi di terze parti a seconda degli importi. Non vuoi rischiare il tuo benessere tenendo troppe quantità e rischi di perderti, ma se gestisci le tue risorse a terze parti, vuoi assicurarti che nessuno da lì possa mettere le mani sulle tue risorse.