9
我有一個包含敏感信息的數據庫。我可以在讀寫操作上加密/解密數據。問題是我需要將密鑰存儲在應用程序中。如果有人黑了他們的方式,他們可以訪問數據庫,然後他們也可以抓住應用程序(java)來解壓縮它並拉出密鑰。好的,所以我現在加密了我的數據,我在哪裏隱藏密鑰?
這看起來好像是一個減速帶。還有哪些其他解決方案?
A
回答
2
要求用戶輸入密碼才能訪問其數據。在代碼中隱藏密鑰就是默默無聞的安全性。
-1
加密密鑰(使用DPAPI),把它放在一個文件,把一個ACL對文件等等
3
我假設你有辦法讓他們之前驗證用戶的憑據訪問數據庫?
通常對於這類事情的體系結構如下:
- 數據庫
- 服務器
- 客戶
客戶端連接到服務器,然後將其連接到數據庫。 服務器確保客戶端在允許其訪問敏感信息之前進行正確的身份驗證。解密密鑰僅存儲在服務器上。沒有人應該有權訪問服務器,特別是包含密鑰的文件。這樣客戶端就不必進行任何加密/解密操作,也不必存儲任何密鑰。
+1
是的,但OP的原始問題是「如果服務器受到威脅,我如何阻止他們發現密鑰」,這是一個完全不同的問題。我喜歡Kent使用操作系統內置密鑰管理的想法 – Coderer 2009-01-22 14:51:46
3
5
您唯一能做的就是難以從應用程序中提取密鑰。你不能讓它變得不可能。如果您向某人提供了一盒包含您想保護的內容的盒子,則必須爲他們提供密鑰才能讓他們訪問這些內容。一旦你給他們鑰匙,他們可以做任何他們想做的事......如果他們不費力地找到鑰匙。
這是一個鮑勃和夏娃是同一個人的情況下,你想讓鮑伯訪問但停止伊娃看到它。
這是DRM,它不起作用。
2
將密鑰存儲在CSP容器中。考慮Java CSP here。
這是IMO最安全的方式。但是您也可以考慮將密鑰存儲在受操作系統使用某種ACL保護的文件中。
1
要求用戶使用強密碼登錄;使用密碼作爲密鑰的對稱加密算法來解密不對稱數據庫關鍵
保持在安全存儲器中的DB鍵的應用程序運行時(如果這是一個選項)
相關問題
- 1. 我們在哪裏存儲密鑰/密碼/鹽進行加密?
- 2. Eclipse在哪裏隱藏密鑰庫?
- 3. 我的Algolia帳戶密鑰和密鑰在哪裏?
- 4. 在哪裏加密/解密我的數據?
- 5. DialMyCalls我在哪裏放API密鑰
- 6. 我的IIS7網站的元數據庫密鑰在哪裏?
- 7. 如何隱藏我的Dropbox API密鑰
- 8. 我在哪裏可以獲得google-translate的密鑰?
- 9. 我可以在哪裏看到「密鑰庫」的詳細信息?
- 10. 我可以在哪裏放置Stripe的可發佈密鑰?
- 11. 隱藏我的數據庫密碼
- 12. 我可以在DTLS-SRTP加密中指定我自己的加密密鑰嗎
- 13. 在哪裏存儲我的密鑰以便在移動設備上加密數據?
- 14. 我已經加密AES密鑰的AES密鑰存儲在數據庫中的密鑰字符串,當我嘗試解密密鑰我得到:
- 15. 我在哪裏使用Facebook API密鑰和API祕密
- 16. 我在哪裏可以找到Facebook的API密鑰和API祕密?
- 17. 我在這裏加密錯了什麼?
- 18. 如何在C++中隱藏我的AWS S3訪問密鑰和密鑰?
- 19. 我可以在哪裏創建Facebook應用程序密鑰?
- 20. 我在哪裏可以找到密鑰庫文件?
- 21. 我在哪裏可以找到Heroku SSH密鑰?
- 22. 我在哪裏可以找到我的Facebook應用程序ID和密鑰?
- 23. 我在哪裏可以找到我的Google Font API密鑰? (新手)
- 24. 我在哪裏可以找到我的雅虎開發者API密鑰?
- 25. 我在哪裏可以找到我的Azure帳戶名稱和帳戶密鑰?
- 26. 我的資源隱藏在哪裏?
- 27. 我應該在哪裏尋找消費者密鑰和祕密以註冊OAuth?
- 28. 我現有的密鑰庫不存在
- 29. Right_aws ruby gem:我必須在哪裏存儲AWS訪問密鑰和密鑰?
- 30. 我應該在哪裏存儲Vault開封和根密鑰/密鑰?
DPAPI只適用於Windows相關的,但這是一個合理的建議... – 2009-01-22 14:19:13
它也是機器特有的,所以如果你將你的數據庫遷移到新的服務器上,你的密鑰將不可解密。 – Russ 2009-01-22 14:59:28