security - 具有用户选择密码的公钥加密？

Question

重点是设计一个简单的系统，用户可以在其中发送加密消息(在服务器的支持下)。

在这种情况下，客户端没有本地存储 ，所以我不得不使用用户可以在需要时选择、记住和键入的密码。 (我知道这会削弱整个系统，但这是一个硬性要求)

另一个要求是 服务器无法存储明文私钥 或任何其他可用于解密消息的数据(例如:只有用户可以阅读加密的消息，服务器管理员不应该能够)。

我的方法是在客户端生成一个非对称 key 对，在服务器上发布公钥以及私钥的加密副本(使用用户密码加密)。
然后，用户可以使用收件人公开的公钥向其他用户发送加密消息；当用户需要解密消息时，他的(加密的)私钥在客户端从服务器获取，使用用户提供的密码解密，然后用于解密消息。

这有道理吗？这个系统设计有什么缺陷吗？ (除了用户选择短密码或错误密码所带来的弱点)
这种方法是否已经在类似的场景中使用过？

谢谢 :)

Answer 1

如果我理解正确，您想创建一个系统，让两个用户可以通过他们不信任的服务器发起私有(private)通信。

这行不通。

在您布置的场景中，服务器可以生成自己的 key 对，并代替用户发布其公钥。当用户加密消息并打算将其发送给他们的合作伙伴时，他们无法检测到服务器已经替换了它的公钥。服务器解密消息，将其呈现给服务器管理员，并使用真正的合作伙伴公钥重新加密它(或他们制造的一些新消息)，并将其转发到目的地。

这里缺少的是证书颁发机构。这是一个受信任的第三方，它对公钥和用户名之间的绑定(bind)进行数字签名。这种绑定(bind)称为证书。这样，当服务器向客户端提供公钥用于加密时，客户端可以使用 CA 的公钥来验证证书，并确保他们将要使用的公钥属于预期的接收者，而不是攻击者。

用户必须信任 CA，这可能比信任服务器管理员更容易接受。但是，还必须有一种防篡改的方式来存储 CA 证书。在实践中，这通常使用基于密码的 MAC(消息验证码)来完成。或者，可以使用用户的私钥对 CA 进行数字签名(从未见过这样做过，但它会起作用)。但棘手的部分是从可信来源获取 CA 证书，绕过不可信的服务器。

至于用密码加密私钥，这种做法经常进行，并且与您选择的密码一样安全。

或者，如果用户可以在带外相互共享 secret ，则不需要公钥加密。客户端可以使用用户选择的密码对共享 key 进行加密，并将密文存储在服务器上。