首頁>Security>source

我正在編寫一个安全儲存和共享使用者密碼的專案,我一直在研究加密演算法,CSPRNG,散列演算法,键拉伸等等......

我只想佈置我的想法,如何使用所有這些,建立安全的應用程式 - 並希望有人可以指出我们的缺陷或指匯我,如果我看到錯誤:

Hashing

因此,首先,我需要儲存帐戶密碼的雜湊值(這些是登錄應用程式以查看共享密碼的帐戶).

阅讀後,我的理解是,為了使雜湊"更安全",您需要使用scrypt或bcrypt或pbkdv2.我在"CryptSharp"中找到了這些實現(希望這是一个安全的實現) - 也是在进一步研究之後(http://www.bouncycastle.org/csharp/- 再次,我希望是一个安全的實施).這是使用3个IV和密钥的地方; 如此有效地將資料加密如下:Serpent(TwoFish(AES(data,key1),key2),key3)。

Encryption

所以,這些是我建立安全資料儲存系統的想法; 我在看什麼? 我誤解了什麼吗? 我應该做些什麼吗?

我對此有任何建議。

Thoughts?
最新回復
  • 2019-12-5
    1 #

    不要發明自己的加密協議.很容易想出各種各樣的想法並結合各種技術,但這樣做正確非常困难,需要大量的经驗和廣泛的同行評审.這不是你可以在几分钟內自己完成的事情,特別是如果你不是一个密碼學家。

    確认這種印象的是,在您分析問题並指定目標之前,您会直接跳到隨機實施细节.巢狀加密功能在這个早期階段是如何相關的? 這一切听起来都很混亂和模糊。

    我強烈建議您首先了解更大的圖片,然後為此特定方案選擇已建立的解決方案。

  • 2019-12-5
    2 #

    "在使用者之間安全儲存和共享密碼"

    這只需要強大的雜湊演算法和某種加密。 加密使其無法讀取並进行完整性檢查雜湊(加上有助於儲存,搜尋以及通過網路共享時减少開銷)。 此外,由於最受欢迎的雜湊演算法MD5已被證明存在冲突,因此不赞成在不安全的频道上共享密碼的雜湊值.

    我發現這个問题有點模糊,但這裏有一个可能有用的镜頭。 您需要規划儲存系統的外观。 單独的元件,並以這樣的方式對其进行模組化,即每个層都有自己的安全性,彼此独立.

    同時@Deer Hunter是對的.不要重新發明轮子,你可以使用強大的加密演算法,並且已经過彻底的測試。

  • threat mitigation:如何保護自己不被我的AwS EC2例項破壞並建立其他例項?
  • key management:將密钥安全地傳遞到docker容器