من یک KMS اساسی را بر اساس یک HSM ساده طراحی می کنم ، فقط به AES256 ، SHA256 ، PBKDF2 ، HMAC (و ترکیب هایی مانند AES256-HMAC-SHA256) دسترسی دارم. سرپرست و کاربران سیستم دارای HSM شخصی هستند که کلیدها در آن ذخیره شده و مانند این کار می کند: مدیر یک کلید را در…
tls – استفاده از همان رمز عبور برای رمزگذاری و تأیید اعتبار سایر اقدامات
بزرگترین ضعف این طرح استفاده از "سنجاق ساده" است. یک سنجاق ساده صرف نظر از اینکه از KDF برای گسترش آن استفاده می کنید ، فقط به اندازه یک پین ساده محافظت می کند. اگر فقط پین های عددی 4 رقمی و مجاز را مجاز می کنید ، KDF شما فقط قادر به تولید 10…
احراز هویت – رمزگذاری اسناد چند کاربره: دسترسی به کلیدهای خصوصی کاربر
من در تلاش برای پیاده سازی این راه حل ها برای رمزگذاری اسناد چند کاربره هستم: کلید خصوصی کاربر در یک بانک اطلاعاتی ذخیره می شود و با استفاده از رمزنگاری متقارن رمزگذاری می شود ، کلید اصلی رمز عبور کاربر است. سوال من چگونه باید کلید خصوصی نگه داشته شود تا در درخواست های…
مدیریت کلید – آیا واقعاً راهی امن برای ذخیره کلید رمزنگاری وجود دارد؟
من از راه های مختلفی برای ذخیره کردن کلید رمزنگاری ، برخی از موارد بسیار بد ، مانند کد رمزگذاری شما یا جای دیگر در همان سرور ، و سایر موارد بسیار بهتر مانند جایی که رمزگذاری / رمزگشایی به دور از برنامه شما یا سایر موارد بسیار بهتر است آگاه هستم. به سخت افزار…
برنامه وب – ارسال Webhook جزئیات خرید برای رسیدگی به خریدهای یک سرویس Pary Security Secure؟
tl / dr: اگر پول درگیر است ، به روشی برای تأیید صحت وب خود نیاز دارید معاملات کلیدهای امنیتی شما احتمالاً خوب هستند ، اگرچه در پایان ، تصمیم گیری تجاری برای شماست. انتهایی وب اختصاصی وب نگرانی های شما درباره یک نقطه پایان وب خصوصی خصوصی کاملاً معتبر است. در حقیقت ، این…