Управление ключами
Содержание
— Шифрование+Подписание данных: PKCS#7 / CMS или сделать по-своему?
Задай вопрос
спросил
Изменено
9 лет, 9 месяцев назад
Просмотрено
2к раз
В настоящее время я сохраняю массив ключей AES в связку ключей как JSON, сохраненный как текстовый файл/текстовый столбец SQL:
{
[
{
зашифрованныйAesKey: RsaEncryptedBytesBase64Encoded ==,
подпись: RsaSignatureBytesBase64 ==,
идентификатор ключа: 0,
},
{
зашифрованныйAesKey: RsaEncryptedBytesBase64Encoded ==,
подпись: RsaSignatureBytesBase64 ==,
идентификатор ключа: 1,
}
]
подпись: HashAboveKeychainThenRsaSignatureBytesBase64 ==
}
Только владелец закрытого ключа (скажем, Алиса) может расшифровать ключи AES.
У Алисы также есть собственный открытый ключ, поэтому она может проверить подпись перед использованием. Это защищает ее от Чака, который может нарушить расшифровку AES уже зашифрованных данных, создав случайный ключ AES, зашифровав его с помощью открытого ключа Алисы и записав туда, где сохранен JSON. Но Чак не может подписывать, чтобы Алиса случайно не использовала неверные данные.
Описанное выше работало в течение многих месяцев, но CMS/PKCS#7 кажется привлекательным, поскольку он уже предназначен для обеспечения безопасности и целостности данных путем определения конвертов данных (шифрование) и подписей данных (подпись).
Вопрос: Помимо функциональной совместимости, какие дополнительные преимущества можно получить, выбрав маршрут CMS/PKCS#7?
- управление ключами
Не сворачивайте свою собственную криптографию . Если вы решили изобрести свой собственный формат, то вы сами по себе. История криптографии полна людей, которые изобрели свой собственный формат и потерпели ужасную неудачу; и, что более важно, история криптографии а не полный или люди которые придумали свой формат и сошли с рук.
Эти вещи сложно сделать правильно, и вы не можете проверить, удалось вам это или нет (вы можете проверить функциональность, а не безопасность).
CMS (новое название PKCS#7) имеет двойное преимущество:
- уже давно стандартизирован и развернут в полевых условиях, поэтому его потенциальные подводные камни уже должны быть хорошо понятны;
- уже реализован в ряде фреймворков и библиотек. Как обычно, программное обеспечение, которое легче всего правильно реализовать, — это программное обеспечение, которое уже реализовано правильно.
Итак, сделайте себе одолжение, используйте CMS.
1
Функциональная совместимость не входит в число ваших требований. Если у вас нет библиотеки, поддерживающей CMS с качеством, которое соответствует вашим ожиданиям, CMS/PKCS#7 может легко оказаться излишним, учитывая его сложность.
Если ваше приложение имеет безопасный способ хранения корневых секретов рядом с базой данных SQL, вам, вероятно, лучше закодировать все свои ключи в большой двоичный объект и использовать установленный режим шифрования с проверкой подлинности, такой как AES GCM (NIST 800-38D) или AES СКК (NIST 800-38C).
Один корневой ключ AES сохраняется в безопасном хранилище. Вы не будете использовать какой-либо открытый ключ, но, судя по вашему описанию, он вам действительно не нужен (одно приложение получает доступ к своим собственным данным).
2
Зарегистрируйтесь или войдите в систему
Зарегистрируйтесь с помощью Google
Зарегистрироваться через Facebook
Зарегистрируйтесь, используя адрес электронной почты и пароль
Опубликовать как гость
Электронная почта
Требуется, но не отображается
Опубликовать как гость
Электронная почта
Требуется, но не отображается
Нажимая «Опубликовать свой ответ», вы соглашаетесь с нашими условиями обслуживания, политикой конфиденциальности и политикой использования файлов cookie
.
Versasec — vSEC:CMS
vSEC:CMS изменит ваши представления о том, как управлять жизненным циклом учетных данных для аутентификации пользователей. vSEC:CMS — это инновационная, легко интегрируемая и экономичная система управления смарт-картами или система управления учетными данными (SCMS или CMS), которая поможет вам развертывать и управлять учетными данными в вашей организации.
Независимый от поставщика
vSEC:CMS полностью функциональна с учетными данными с поддержкой мини-драйверов, такими как смарт-карты, USB-токены и виртуальные смарт-карты, включая Windows Hello для бизнеса (WHfB). Он оптимизирует все аспекты управления учетными данными, подключаясь к корпоративным каталогам, центрам сертификации, системам контроля физического доступа, почтовым серверам, серверам журналов, считывателям биометрических отпечатков пальцев, почтовым программам с PIN-кодом… список можно продолжить. С помощью vSEC:CMS организации могут выдавать учетные данные сотрудникам, персонализировать учетные данные с помощью учетных данных для аутентификации и управлять жизненным циклом учетных данных — непосредственно из готового продукта.
Оценка – загрузите сегодня!
Зарегистрируйтесь и загрузите vSEC:CMS напрямую из Versasec.
После загрузки и установки vSEC:CMS готов к использованию в ознакомительном режиме. Во время оценки вы можете настроить свою среду с использованием до 10 лицензий и собственных вариантов использования. Каждая лицензия управляет одним удостоверением. Дополнительные лицензии можно приобрести в виде подписки или бессрочной лицензии. Чтобы продолжить, свяжитесь с торговым посредником Versasec или напрямую с Versasec.
Запланировать демонстрацию
Чтобы воспользоваться полным набором функций vSEC:CMS (включая самообслуживание, виртуальную смарт-карту, поддержку HSM и т. д.), запланируйте демонстрацию Versasec или обратитесь к местному реселлеру Versasec.
Масштабируемость
vSEC:CMS масштабируется вместе с вашим проектом. Благодаря новой возможности балансировки нагрузки нет верхнего предела!
Описание продукта
Загрузите описание продукта vSEC:CMS здесь [pdf].
vSEC:CMS
Дополнительная информация о полном наборе продуктов vSEC:CMS.
Миграция на vSEC:CMS
vSEC:CMS включает в себя мастера обновления, которые позволяют быстро и просто выполнить обновление из сторонних систем управления учетными данными.
Узнайте подробности о том, как выполнить обновление с:
- Обновление с Thales SAM
- Обновление с Microsoft MIM/FIM CM
- Обновление с Gemalto DAS/IDAdmin 100
Торговые посредники
Продукт можно приобрести у авторизованных интеграторов и реселлеров vSEC:CMS, через нашу партнерскую сеть торговых посредников или напрямую связаться с Versasec, чтобы мы помогли вам найти лучший способ продвижения вперед.
Видео
Видеоконтент vSEC:CMS можно найти здесь.
Интегрируемость — API-интерфейсы
vSEC:CMS можно интегрировать и подключать различными способами. На приведенном ниже рисунке показаны наиболее часто используемые варианты.