- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
假设我正在创建一个网络应用程序,用户可以在其中创建一个嵌套的字符串树(包含敏感信息)。这些字符串大概很短。我想在保存这棵树之前加密这棵树中的键和值。树中的所有值都将使用用户提供的对称 key 在客户端进行加密。同样,在阅读时,它们将在客户端解密。
树保存在 Mongo 数据库中。
考虑到树中的所有数据都将使用相同的 key 加密,我无法决定是应该序列化树并用整个字符串对其进行加密,还是单独加密值。
两者的优缺点是什么?
据我所知,AES 使用 128 位的 block 大小,这意味着编码时任何字符串的长度都可以增长到 15 个字符,这有利于对序列化字符串进行编码(如果您想避免开销)
注意:虽然 webapp 将同时使用 HTTPS、IP 白名单和多因素身份验证,但我想努力防止 Mongo 数据库被盗时的数据泄露。这就是我在这里的目的。欢迎提供有关如何实现此目的的建议或想法。
此外,我还希望我的服务能够激发信任。以明文方式发送数据(尽管通过 HTTPS)意味着用户必须相信我会在保存数据之前对其进行加密。加密客户端让我可以强调我不知道(或需要知道)我在保存什么。
最佳答案
我想不出为什么这些方法在实际字符串的安全性方面会有所不同(假设它们都正确实现)。单独加密字符串显然意味着树的结构不会是 secret 的,但我不确定您是否关心这一点。例如,如果您单独加密每个字符串,看到密文的人可以找出树中有多少个键,他还可以了解每个键和值的长度。如果您将树加密为整个序列化的 blob,那么看到密文的人可以大致知道树中有多少数据,但无法知道单个键/值的长度或数量。
正如您提到的,就开销而言,填充将是一个考虑因素。更大的存储开销来源是 IV:如果您使用 CTR 等分组密码模式,则需要为每个密文使用不同的 IV。这意味着如果您单独加密每个字符串,则需要为每个字符串存储一个 IV。如果你加密整个序列化树,那么你只需要为那个密文存储一个 IV。
不过,在使用 Javascript 实现此功能之前,您应该确保通过客户端加密确实真正提高了安全性。本文为经典:http://www.matasano.com/articles/javascript-cryptography/重要的一点是要记住服务器正在提供 Javascript 加密代码,因此在客户端加密数据并不能保护它不受服务器的影响。如果您主要担心数据库被盗,您可以通过在将数据插入数据库之前加密服务器上的数据来实现相同的安全性。
关于javascript - 使用相同的对称 key 加密小字符串的嵌套映射,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15454992/
如何使用 SPListCollection.Add(String, String, String, String, Int32, String, SPListTemplate.QuickLaunchO
我刚刚开始使用 C++ 并且对 C# 有一些经验,所以我有一些一般的编程经验。然而,似乎我马上就被击落了。我试过在谷歌上寻找,以免浪费任何人的时间,但没有结果。 int main(int argc,
这个问题已经有答案了: In Java 8 how do I transform a Map to another Map using a lambda? (8 个回答) Convert a Map>
我正在使用 node + typescript 和集成的 swagger 进行 API 调用。我 Swagger 提出以下要求 http://localhost:3033/employees/sear
我是 C++ 容器模板的新手。我收集了一些记录。每条记录都有一个唯一的名称,以及一个字段/值对列表。将按名称访问记录。字段/值对的顺序很重要。因此我设计如下: typedef string
我需要这两种方法,但j2me没有,我找到了一个replaceall();但这是 replaceall(string,string,string); 第二个方法是SringBuffer但在j2me中它没
If string is an alias of String in the .net framework为什么会发生这种情况,我应该如何解释它: type JustAString = string
我有两个列表(或字符串):一个大,另一个小。 我想检查较大的(A)是否包含小的(B)。 我的期望如下: 案例 1. B 是 A 的子集 A = [1,2,3] B = [1,2] contains(A
我有一个似乎无法解决的小问题。 这里...我有一个像这样创建的输入... var input = $(''); 如果我这样做......一切都很好 $(this).append(input); 如果我
我有以下代码片段 string[] lines = objects.Split(new string[] { "\r\n", "\n" }, StringSplitOptions.No
这可能真的很简单,但我已经坚持了一段时间了。 我正在尝试输出一个字符串,然后输出一个带有两位小数的 double ,后跟另一个字符串,这是我的代码。 System.out.printf("成本:%.2
以下是 Cloud Firestore 列表查询中的示例之一 citiesRef.where("state", ">=", "CA").where("state", "= 字符串,我们在Stack O
我正在尝试检查一个字符串是否包含在另一个字符串中。后面的代码非常简单。我怎样才能在 jquery 中做到这一点? function deleteRow(locName, locID) { if
这个问题在这里已经有了答案: How to implement big int in C++ (14 个答案) 关闭 9 年前。 我有 2 个字符串,都只包含数字。这些数字大于 uint64_t 的
我有一个带有自定义转换器的 Dozer 映射: com.xyz.Customer com.xyz.CustomerDAO customerName
这个问题在这里已经有了答案: How do I compare strings in Java? (23 个回答) 关闭 6 年前。 我想了解字符串池的工作原理以及一个字符串等于另一个字符串的规则是
我已阅读 this问题和其他一些问题。但它们与我的问题有些无关 对于 UILabel 如果你不指定 ? 或 ! 你会得到这样的错误: @IBOutlet property has non-option
这两种方法中哪一种在理论上更快,为什么? (指向字符串的指针必须是常量。) destination[count] 和 *destination++ 之间的确切区别是什么? destination[co
This question already has answers here: Closed 11 years ago. Possible Duplicates: Is String.Format a
我有一个Stream一个文件的,现在我想将相同的单词组合成 Map这很重要,这个词在 Stream 中出现的频率. 我知道我必须使用 collect(Collectors.groupingBy(..)
我是一名优秀的程序员,十分优秀!