2

在线系统(前端用 PHP 编写,但不太相关)需要将文本存储在加密的 MySQL 数据库中,这样本地系统管理员就无法查看数据,也因此在数据库被盗的情况下也无法查看数据。系统上有多个用户必须有权访问数据,他们通过标准设置登录/验证,即同一数据库中的用户名和哈希密码。

由于存储的数据需要由系统解密以显示给经过身份验证的用户,但本地系统管理员必须无法解密相同的数据,显而易见的方法是拥有一个用于加密/解密存储的密钥使用对称密码的数据。问题(实际上是我要征求意见的问题)是如何/在哪里存储此密钥?

经过身份验证的用户不应直接访问密钥,因此需要以某种方式将其存储在系统中并由软件按需解密存储的文件,但本地系统管理员必须无法学习此密钥,否则他们可以用它来解密存储的数据。

因此,一种方法是将密钥加密存储在数据库中,但是为了让系统在每个用户的基础上解密和使用密钥,它必须针对经过身份验证的用户所独有的东西进行加密,例如他们的密码。好的,到目前为止一切顺利,但有一个问题......

如果需要更改密钥怎么办?更改密钥的人要么必须知道每个人的密码,以便他们可以针对每个用户帐户加密新密钥(不切实际),要么他们必须将新密钥提供给每个用户并要求他们重新输入(不是选项)。

另外,从安全的角度来看,让这个密钥在数据库中有效地存储 n 次(其中 n 是用户数),并用不同的密钥(用户密码)加密,这是个好主意吗?即,这是否会通过向潜在黑客提供相同加密数据的多个示例来更多地暴露密钥?

有没有更好的办法?

4

2 回答 2

3

感谢 jonrsharpe 将我指向 Tom Leak 的帖子:https ://security.stackexchange.com/a/71915

我们将基于此方法的系统如下:

  • 文档存储在使用对称密码加密的表中。

  • 上述对称密码的密钥存储在一个单独的表中,每个有权访问文档的用户使用一次,使用非对称密码和用户的公钥进行加密。

  • 用户的私钥存储在另一个使用对称密码加密的表中,其中的密钥是用户的密码。

这意味着可以通过简单地删除该用户在文档密钥表中的条目来撤销对文档的访问;如果文档被修改,系统只需删除密钥表中文档的所有条目,然后用每个用户的公钥将它们重新加密;只需向文档密钥表中添加一个条目,使用用户的公钥进行加密,就可以授予其他用户访问权限;有权访问文档的用户可以使用他们的私钥解密文档的密钥,然后使用他们自己的密码对其进行解密。

正是我们需要的!

于 2017-07-05T15:15:20.220 回答
0

一种解决方案是在用户密钥和数据库密钥之间再添加一层密钥。然后,如果数据被重新加密,则只需重新加密一个额外的密钥。也可能只需更改最后一个密钥即可完成更改加密密钥的需要,而不是使用新密钥重新加密数据。

但也许还有其他更好的解决方案,例如可以使用 DB 角色。

请记住,这只是有权访问加密数据的用户的密码之一被泄露,数据被泄露,并且每个此类用户都会升级。

另一种减少有权访问的系统管理员数量的解决方案是将数据库放在一个专用服务器上,该服务器只有极少数的系统管理员,具有 2 因素身份验证且没有直接 Internet 访问权限,只能从服务器在线服务器进行安全访问。

于 2017-07-03T12:40:44.950 回答