php – 用于存储/检索PGP私钥和密码的安全方法?

原文

我有一个需要存储服务器登录信息的Web应用程序.我正在使用一个2048bit的PGP公钥来加密插入的密码(请参阅insertServerDef)和一个带密码的私钥来解密密码(参见getServerDef).

据了解,这条链中最薄弱的环节就是处理私钥和密码.从我下面的代码可以看出,我只是使用file_get_contents从当前Web目录中的文件中检索密钥和密码 – 不好.

我的问题是:什么是安全地检索私钥和密码以用于解密登录信息的好方法?也许我应该通过身份验证的远程文件服务器存储/检索私钥?

我搜索了最佳做法,但是找不到多少.

class DB {

    protected $_config;
    protected $_iUserId;
    protected $_iServerId;
    protected $_dbConn;
    protected $_sPubKey;
    protected $_sPrivKey;


    public function __construct($iUserId,$iServerId) {

        //bring the global config array into local scope
        global $config;
        $this->_config = $config;

        $this->_iUserId = $iUserId;
        $this->_iServerId = $iServerId;

        $this->_sPubKey = file_get_contents("public_key");
        $this->_sPrivKey = file_get_contents("private_key");
        $this->_sPrivKeyPass = trim(file_get_contents("private_key_pass"));

    }

    //connect to the database
    public function connect() {
        try {


            $this->_dbConn = new PDO("pgsql:host=".$this->_config['db_host']." dbname=".$this->_config['db_name'],$this->_config['db_username'],$this->_config['db_password']);

            echo "PDO connection object created";
        } catch(PDOException $e) {

            echo $e->getMessage();

        }

    }

    public function insertServerDef($sHost,$iPort,$sUser,$sPass) {

        //testing
        $iUserId = 1;

        $oStmt = $this->_dbConn->prepare("INSERT INTO upze_server_def (server_id,host_address,ssh_port,username,pass,user_id) VALUES (DEFAULT,:host_address,:ssh_port,:username,pgp_pub_encrypt(:pass,dearmor(:pub_key)),:user_id)");
        $oStmt->bindParam(':host_address',$sHost);
        $oStmt->bindParam(':ssh_port',$iPort);
        $oStmt->bindParam(':username',$sUser);
        $oStmt->bindParam(':pass',$sPass);
        $oStmt->bindParam(':pub_key',$this->_sPubKey);

        $oStmt->bindParam(':user_id',$iUserId);
        $oStmt->execute();

    }

    public function getServerDef($iServerId) {

        $oStmt = $this->_dbConn->prepare("  SELECT server_id,pgp_pub_decrypt(pass,dearmor(:priv_key),:priv_key_pass) As decryptpass 
                                            FROM upze_server_def usd 
                                            WHERE usd.server_id = :server_id
                                        ");

        $oStmt->bindParam(':server_id',$iServerId);
        $oStmt->bindParam(':priv_key',$this->_sPrivKey);
        $oStmt->bindParam(':priv_key_pass',$this->_sPrivKeyPass);
        $oStmt->execute();

        while($row = $oStmt->fetch()) {
            echo "<pre>".print_r($row)."</pre>";
        }

    }

    //close any existing db connection
    public function close() {
        $this->_dbConn = null;
    }


    //close any existing db connections on unload
    public function __destruct() {
        $this->_dbConn = null;
    }

}
(注意:我不是安全专家,我对该地区感兴趣,但是,请记住)

如果可能的话,根本不要存储密码

这取决于你的需求.所有的最好的选择是不要使用双向加密;如果你只能存储这个理想的salted和one-way-hashed密码摘要.您仍然可以测试它们,以查看它们是否与用户提供的密码相匹配,但您不会存储它.

更好的是,如果您的客户使用一些稳定的协议(即:不是通常实现的HTTP),您可以使用challenge-response authentication mechanism,这意味着您的应用程序从来没有需要看到用户的密码,甚至不认证它们.可悲的是,这在公共网站上很少有可能,这有可能使80年代的程序员感到羞耻.

如果您必须存储密码,请将该密钥与该应用隔离开

如果您必须能够解密密码,那么理想情况下,您不应该在一个地方完成所有的细节,而且肯定不是一个可复制的,易于访问的地方.

因为这个原因,我个人不喜欢不要使用PgCrypto(正如你所做),因为它迫使你暴露私钥,(如果有的话)将密码泄露给服务器,在Postgresql的日志文件或以其他方式潜在嗅探.我想要做我的加密客户端,在那里我可以使用PKCS#11,一个关键代理或其他工具,让我解密数据,而不用让我的代码能够访问密钥.

安全密钥存储的问题是PKCS#11发明的一部分.它为应用程序和加密提供程序提供了一个通用接口,可以提供任何可以提供某些签名和解密服务的东西,而不会泄露其密钥.通常但不仅仅是使用基于硬件的加密,如智能卡和硬件加密模块.这样的设备可以被告知签署或解密传递给他们的数据,并且可以这样做,而不会泄露密钥.如果可能,请考虑使用智能卡或HSM.据我所知,PgCrypto不能使用PKCS#11或其他HSM /智能卡.

如果您不能这样做,您仍然可以使用密钥管理代理,在服务器引导时将密钥加载到密钥管理程序中,密钥管理程序提供PKCS#11(或其他一些)接口用于通过套接字进行签名和解密.这样你的网络应用程序根本就不需要知道密钥. gpg代理可能符合此目的.再次,据我所知,PgCrypto不能使用密钥管理代理,虽然这将是一个很好的功能添加.

即使有小的改进也可以帮助.如果您的密钥的密码不存储在磁盘上,那么最好是在启动应用程序时可能需要输入密码,以便密钥可以被解密.您仍然将解密的密钥存储在内存中,但解密的所有细节不再在磁盘上,而且易于获取.攻击者从内存中窃取解密的密钥比从磁盘获取“password.txt”要困难得多.

您所选择的做法取决于您的安全需求和您正在使用的数据的详细信息.在你的位置,我只是不存储密码,如果可能的话,如果我不得不使用PKCS#11兼容的硬件设备.

php – 用于存储/检索PGP私钥和密码的安全方法?的更多相关文章

  1. HTML5 播放 RTSP 视频的实例代码

    目前大多数网络摄像头都是通过 RTSP 协议传输视频流的,但是 HTML 并不标准支持 RTSP 流。本文重点给大家介绍HTML5 播放 RTSP 视频的实例代码,需要的朋友参考下吧

  2. 利用Node实现HTML5离线存储的方法

    这篇文章主要介绍了利用Node实现HTML5离线存储的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

  3. 详解如何通过H5(浏览器/WebView/其他)唤起本地app

    这篇文章主要介绍了详解如何通过H5(浏览器/WebView/其他)唤起本地app的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  4. H5混合开发app如何升级的方法

    本篇文章主要介绍了H5混合开发app如何升级的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  5. AmazeUI 折叠面板的实现代码

    这篇文章主要介绍了AmazeUI 折叠面板的实例代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

  6. html5录音功能实战示例

    这篇文章主要介绍了html5录音功能实战示例的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

  7. HTML5手指下滑弹出负一屏阻止移动端浏览器内置下拉刷新功能的实现代码

    这篇文章主要介绍了HTML5手指下滑弹出负一屏阻止移动端浏览器内置下拉刷新功能的实现代码,代码简单易懂,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧

  8. Html5 video标签视频的最佳实践

    这篇文章主要介绍了Html5 video标签视频的最佳实践,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

  9. 基于 HTML5 WebGL 实现的医疗物流系统

    物联网( IoT ),简单的理解就是物体之间通过互联网进行链接。这篇文章给大家介绍基于 HTML5 WebGL 实现的医疗物流系统,感兴趣的朋友跟随小编一起看看吧

  10. html5唤起app的方法

    这篇文章主要介绍了html5唤起app的方法的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

随机推荐

  1. PHP个人网站架设连环讲(一)

    先下一个OmnihttpdProffesinalV2.06,装上就有PHP4beta3可以用了。PHP4给我们带来一个简单的方法,就是使用SESSION(会话)级变量。但是如果不是PHP4又该怎么办?我们可以假设某人在15分钟以内对你的网页的请求都不属于一个新的人次,这样你可以做个计数的过程存在INC里,在每一个页面引用,访客第一次进入时将访问时间送到cookie里。以后每个页面被访问时都检查cookie上次访问时间值。

  2. PHP函数学习之PHP函数点评

    PHP函数使用说明,应用举例,精简点评,希望对您学习php有所帮助

  3. ecshop2.7.3 在php5.4下的各种错误问题处理

    将方法内的函数,分拆为2个部分。这个和gd库没有一点关系,是ecshop程序的问题。会出现这种问题,不外乎就是当前会员的session或者程序对cookie的处理存在漏洞。进过本地测试,includes\modules\integrates\ecshop.php这个整合自身会员的类中没有重写integrate.php中的check_cookie()方法导致,验证cookie时返回的username为空,丢失了登录状态,在ecshop.php中重写了此方法就可以了。把他加到ecshop.php的最后面去就可

  4. NT IIS下用ODBC连接数据库

    $connection=intodbc_connect建立数据库连接,$query_string="查询记录的条件"如:$query_string="select*fromtable"用$cur=intodbc_exec检索数据库,将记录集放入$cur变量中。再用while{$var1=odbc_result;$var2=odbc_result;...}读取odbc_exec()返回的数据集$cur。最后是odbc_close关闭数据库的连接。odbc_result()函数是取当前记录的指定字段值。

  5. PHP使用JpGraph绘制折线图操作示例【附源码下载】

    这篇文章主要介绍了PHP使用JpGraph绘制折线图操作,结合实例形式分析了php使用JpGraph的相关操作技巧与注意事项,并附带源码供读者下载参考,需要的朋友可以参考下

  6. zen_cart实现支付前生成订单的方法

    这篇文章主要介绍了zen_cart实现支付前生成订单的方法,结合实例形式详细分析了zen_cart支付前生成订单的具体步骤与相关实现技巧,需要的朋友可以参考下

  7. Thinkphp5框架实现获取数据库数据到视图的方法

    这篇文章主要介绍了Thinkphp5框架实现获取数据库数据到视图的方法,涉及thinkPHP5数据库配置、读取、模型操作及视图调用相关操作技巧,需要的朋友可以参考下

  8. PHP+jquery+CSS制作头像登录窗(仿QQ登陆)

    本篇文章介绍了PHP结合jQ和CSS制作头像登录窗(仿QQ登陆),实现了类似QQ的登陆界面,很有参考价值,有需要的朋友可以了解一下。

  9. 基于win2003虚拟机中apache服务器的访问

    下面小编就为大家带来一篇基于win2003虚拟机中apache服务器的访问。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  10. Yii2中组件的注册与创建方法

    这篇文章主要介绍了Yii2之组件的注册与创建的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下

返回
顶部