JavaScript消息系统加密

Question

我正在尝试使用 JavaScript 和 PHP/MySQL 创建一个消息系统。我有一个包含两个输入元素(收件人 ID、消息内容)的表单。我正在使用 MVC(Zend Framework 1)。表单发布数据发送到我的 Controller 并存储在数据库中。

现在我想在发送消息之前对其进行加密。我想让它对用户友好，所以我的想法是使用 RSA(私钥/公钥)。这个想法是在用户登录时生成一个私钥并存储在 cookie 中，以确保私钥只在用户的机器上。公钥可以存储在用户的表中，以便任何想向他发送消息的用户都可以加密数据。

key 对由用户密码生成很重要。如果是随机生成的，就不可能使用多个系统登录，因为私钥每次都会改变。因此，这将是确保他将始终拥有相同私钥的机制，直到他更改密码为止。

我尝试了一些 JavaScript 库。 cryptico似乎是正确的选择，因为它通过密码生成私钥/公钥。这里的问题是，我无法存储私钥，甚至无法查看值。

他们在网站上有一个例子

// The passphrase used to repeatably generate this RSA key.
var PassPhrase = "The Moon is a Harsh Mistress."; 

// The length of the RSA key, in bits.
var Bits = 1024; 

var MattsRSAkey = cryptico.generateRSAKey(PassPhrase, Bits);

当我尝试输出 MattsRSAkey 时，我只得到 [Object object]。我把它存到Cookies里也是一样的。我尝试使用 JSON.stringify。有了这个功能，我可以存储和查看 MattsRSAKey。但是当我稍后想用它来解密消息时，我得到一个错误，我没有有效的公钥。我认为私钥在存储时被破坏了。当我从 Cookies 读取私钥时，我使用 JSON.parse。

有什么办法可以解决我的问题吗？我只想将来自多个用户(公钥)的加密消息发送给一个用户(私钥)。我的意图不是进行安全传输，而是将消息加密存储在数据库中，这样未经授权的人就无法读取它。重要的是，我不仅对一对一消息进行加密。这很容易，因为两个用户只需要共享一个加密密码。

Answer 1

这里有一些问题。

首先，您试图将 Javascript 对象直接存储在 cookie 中。这行不通:cookie 只能存储字符串值。您需要将 key 序列化为字符串以将其存储在 cookie 中；不幸的是，cryptico 库似乎没有公开任何方法来执行此操作，因此您将需要实现自定义序列化程序或使用另一个加密库。

其次，您将私钥数据存储在 cookie 中。这可能是存储它的最糟糕的地方，因为每次请求时都会将 cookie 发送到 Web 服务器。 Local storage在这里更合适，因为它只能从 Javascript 代码访问。