gpt4 book ai didi

security - 对称 key 存储

转载 作者:行者123 更新时间:2023-12-02 19:07:58 27 4
gpt4 key购买 nike

我的公司将为客户存储敏感数据,并将使用托管 .NET 加密算法类之一来加密数据。大部分工作已经完成,但我们还没有弄清楚如何/在哪里存储 key 。我已经做了一些简单的搜索和阅读,看起来硬件解决方案可能是最安全的。有人对 key 存储解决方案或方法有什么建议吗?

<小时/>

谢谢大家的回复。

spoulson,问题实际上是你提到的“范围”。我想我应该更清楚。

数据本身以及加密和解密数据的逻辑被抽象到 ASP.NET 配置文件提供程序中。该配置文件提供程序允许加密的配置文件属性和纯文本属性。加密属性值的存储方式与纯文本属性值完全相同 - 明显的异常(exception)是它们已被加密。

也就是说, key 需要能够因以下三个原因之一被召唤:

  1. 在授权服务器上运行的授权网络应用程序需要加密数据。
  2. 与 #1 相同,但用于解密数据。
  3. 我们业务团队的授权成员需要查看加密数据。

我想象的方式是没有人真正知道 key - 会有一个软件控制数据的实际加密和解密。也就是说, key 仍然需要来自某个地方

完全披露 - 如果你还不能告诉我,我以前从未做过这样的事情,所以如果我对这应该如何运作的看法完全错误,无论如何,请告诉我。

最佳答案

这个问题(技术方面)只有两种真正的解决方案。假设只有应用程序本身需要访问 key ...

  1. 硬件安全模块 (HSM) - 通常相当昂贵,而且实现起来并不简单。可以是专用设备(例如 nCipher)或特定 token (例如 Alladin eToken)。然后您仍然必须定义如何处理该硬件...

  2. DPAPI(Windows 数据保护 API)。 System.Security.Cryptography 中有相关类(ProtectedMemory、ProtectedStorage 等)。这将 key 管理交给了操作系统——并且处理得很好。在“USER_MODE”中使用时,DPAPI 会将 key 的解密锁定到对其进行加密的单个用户。(不用说得太详细,用户的密码是加密/解密方案的一部分 - 不,更改密码不会弄乱它。)

添加:最好使用 DPAPI 来保护您的主 key ,而不是直接加密应用程序的数据。并且不要忘记在您的加密 key 上设置强 ACL...

关于security - 对称 key 存储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50142/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com