Ha senso memorizzare le chiavi private RSA invece degli hash delle password?

0

Vorrei crittografare alcuni dati privati da ogni utente e mi chiedevo se potevo usare lo stesso segreto di passphrase per una chiave privata RSA e come password per l'autenticazione. Quanto è sicuro l'utilizzo di una chiave privata RSA crittografata rispetto all'hash della password di blowfish?

    
posta inf3rno 30.10.2017 - 17:24
fonte

1 risposta

2

Questo non è sicuro. Se si archivia la chiave, si abilita chiunque abbia accesso al database alla possibilità di decrittografare i dati dell'utente.

Non dovresti memorizzare la chiave privata. Invece generalo su richiesta usando la password + sale quando necessario. Se si immette la password ogni volta che è richiesta la crittografia / decrittografia non è fattibile per il proprio caso d'uso, quindi memorizzarlo nella cache e cancellarlo quando l'utente si disconnette.

RSA è lento e asimmetrico. Inoltre, come sottolineato da A. Hersean, non funziona bene con gli algoritmi di derivazione chiave. Ti suggerirei di utilizzare probabilmente un algoritmo simmetrico come AES per crittografare i dati utente.

    
risposta data 30.10.2017 - 17:39
fonte

Leggi altre domande sui tag