Reimpostazione della password per i dati crittografati memorizzati

Naviga le tue risposte
0

Sto progettando un sistema per contenere oggetti utente protetti, potenzialmente usando le loro password come in questo articolo Crittografia dei dati sensibili nel software e memorizzazione / decrittografia su un server .

Quando un utente dimentica la propria password, ho bisogno di un metodo per reimpostare la password, ma anche recuperare e proteggere nuovamente il loro oggetto utente. Voglio automatizzare questo processo utilizzando un portale self-service.

Avevo preso in considerazione l'utilizzo di una crittografia asimmetrica per crittografare ulteriormente l'oggetto utente durante la crittografia della password originale, in cui alcuni sistemi remoti con accesso alla chiave privata possono recuperare i dati e quindi consentire all'utente di specificare una nuova password e quindi proteggi il loro oggetto.

Esistono modelli esistenti che potrebbero raggiungere questo obiettivo?

    
posta MarcP 31.01.2017 - 17:28
fonte

1 risposta

0

Ciò che descrivi è un caso di uso comune in un'organizzazione di medie dimensioni: gli utenti possono crittografare i propri dati sensibili, ma una copia della chiave deve essere salvata (generalmente in una cassastrong fisica) nel caso dimentichi la password o non sia più in grado di decodificarlo (morte, ferite gravi, ecc.)

Windows offre un modo immediato per consentire a un amministratore di decrittografare una cartella criptata. Altri sistemi possono essere immaginati, con il seguente schema:

  • viene utilizzata una chiave simmetrica per crittografare i dati
  • quella chiave viene quindi crittografata con la password utente (*) e salvata in questo modo. Quando l'utente cambia la sua password, il file di chiavi viene decifrato con la vecchia password e ri-criptato con quello nuovo
  • una copia della chiave simmetrica è memorizzata in modo sicuro in una cassastrong fisica o logica accessibile a un responsabile della sicurezza (o anche procedure migliori potrebbero richiedere due persone diverse per sbloccare la cassastrong)

(*) Più esattamente la password dell'utente viene utilizzata per accedere alla chiave simmetrica. Ma può essere effettivamente crittografato con:

  • un hash della password dell'utente
  • una chiave pubblica dell'utente (quindi utilizza la sua chiave privata protetta dalla sua password per decodificare)
  • o memorizzati in un deposito di password

Le stesse varianti possono essere utilizzate per memorizzare la copia.

    
risposta data 31.01.2017 - 17:51
fonte

Leggi altre domande sui tag

Snort Protocol Negation Estensione dell'algoritmo della firma TLS