将密钥库与源代码一起存储在公共存储库中会带来哪些安全隐患?
将其存储在 repo 中的原因是方便。当您执行“git pull 或克隆”并在本地计算机上构建(例如使用 sbt sign-release)时,没有依赖关系:您只需在出现提示时提供密码并创建签名的应用程序。
假设我使用从密码生成程序获得的 20 个字符的密码(字母、数字、特殊字符等)保护它。我认为攻击者发起攻击并访问密钥库中的私钥在计算上是不可行的。我希望安全/密码专家对将密钥库存储在公共存储库中是否安全提出意见。
谢谢
问问题
781 次
2 回答
0
我做了一些研究。我在 Keytool如何保护密钥?和JKS 保护( http://metastatic.org/source/JKS.html )。
基于此,我正在回答我自己的问题:我得出的结论是,使用我的 20 个字符随机生成的密码,使用长度为 20 个字节的随机盐和链式 SHA1(password, salt) 以获得长度等于的随机流密钥长度为 2048,与私钥进行异或运算,在可预见的未来,提取私钥在计算上是不可行的。
于 2010-10-23T20:52:43.157 回答
0
隐藏密钥环和代码属于“通过默默无闻的安全”主体。从理论上讲,安全性应该远离这个概念,但在这种情况下,答案可能是在公共存储库上公开敏感数据可能会使您受到针对密钥环的特定漏洞或安全算法的实施的攻击和很快。
我的意思是,您使用的所有算法肯定是 100% 安全的,而且密钥环也是,但是密钥环的版本可能包含特定的漏洞或错误,或者安全算法的错误实现。
因此,将这些数据暴露在公共存储库上可能会使您暴露给只想证明自己技能的黑客。
于 2010-10-22T05:39:29.400 回答