19

密码学是一种广泛采用的技术来确保机密性。不考虑实现缺陷,它有一个关键点:密钥存储。如果密钥被盗,整个系统将受到威胁。

编辑 :

让我指定上下文以使问题不那么广泛:

  1. 这里解决了一个 java web 应用程序
  2. 更具体地说,它使用的是 spring 框架版本 3
  3. spring security 3.1 用于保护应用程序
  4. mysql5 数据库可用
  5. 应用服务器是tomcat6或tomcat7
  6. 服务器机器不在我的控制之下

也许问题可以集中在这种情况下,但正如所指出的,密钥存储的问题与所采用的技术是横向的。然而,一些库可能会提供可以以某种方式促进工作的特殊功能。一个明确的观点是,必须在安全性和做实际事情的需要之间找到一个权衡。为了完成分析,很明显,所需的安全级别取决于要保护的信息的价值。翻转我们的想法来执行超级安全的策略(需要付出很多努力)来保密客户的鞋码是没有意义的。

在这里,我必须保护电子邮件密码(将存储在数据库中)。我认为这些信息平均很关键。

我在这里寻找的是合理努力的最佳解决方案。

所以问题很明确:你会将这些信息存储在哪里?

  1. 你将它存储在数据库中吗?所以它应该被加密,这需要另一个密钥(你在哪里存储第二个密钥?)
  2. 你把它放在.war包里吗?您如何防止未经授权的访问源?
  3. 你采取不同的策略吗?

您的策略的动机将不胜感激。谢谢你

4

3 回答 3

12

即使这与Java Web 应用程序没有任何关系,我也冒昧地写一个答案:我认为问题存在于所有平台的微小差异中。

基本上有 3 个候选密钥存储,您提到的前 2 个:

  • 数据库
  • 应用程序(“硬编码”)
  • 服务器上运行 WebApp 的其他地方,通常是一个文件

您已经指出了前两个的弱点,所以无需重复,我完全同意。

这也是我使用第三个候选人的动机。理由是这样的:

  • 同一个应用程序的不同实例可以很容易地拥有不同的密钥,因此一个妥协不会自动传播到所有其他人
  • 如果服务器以某种方式受到损害,允许攻击者读取任何文件,那么无论如何游戏都结束了:您将无法阻止他读取应用程序二进制文件或数据库
  • Web 服务器上的文件系统安全性是一个很好理解的主题
  • 允许完整文件系统访问的入侵在统计上比应用程序或数据库入侵少得多
于 2012-12-21T13:42:55.280 回答
7

无论您总是需要将密钥存储在某处。即使您决定(这很愚蠢)手动提供密钥,密钥也会驻留在内存中,并且有人可以找到它。

您将其存储在哪里取决于您的选择。但是,它不应该是纯文本。因此,如果您将密钥存储在数据库中,则在应用程序中使用硬编码的辅助密钥。因此,如果入侵者只能访问 db,那么加密的主密钥就会受到保护。

我会去应用程序配置将辅助密钥存储在容器中。这样,只有您的应用程序才能访问此属性。因此,攻击者必须控制您的应用程序或容器才能访问该密钥。

所以假设以下场景:

  1. 您的应用程序被黑:攻击者拥有与您相同的权限。可以尝试使用您的 API 来获取敏感信息,而无需使用加密。你的代码会为他们做这件事。下一个选项:她可以尝试获取您的 war 文件或类文件并对其进行反编译以找出硬编码的密钥,或者了解您使用的加密机制。
  2. 只有数据库被黑客入侵:使用不在数据库本身的密钥加密数据应该没问题。

使攻击者更难。您可以将文件放在文件系统中。如其他答案中所述,为其添加适当的 FS 权限。但另外使用 java 安全管理器来限制对所有 java 类的访问,除了真正需要读取它的类。限制对 jar 和类文件的修改也是一个好主意。

您拥有的锁越多,您就越安全。与标准门锁一样。锁应该来自不同的供应商并具有不同的机制。但最终,熟练的窃贼无论如何都会进入。

于 2012-12-21T13:33:12.687 回答
0

文件系统没问题,选择用户权限并在战争中使用授予权限。存在许多安全漏洞,仅开放对数据库或战争内容的访问

于 2012-12-21T13:58:29.890 回答