0

暗号鍵の保存に関するstack-overflowやsecurity.stackexchangeに関する記事はたくさんありますが、まだ混乱しているので、ここで再度質問することにしました。

基本的に、教育目的で電子メール クライアントを作成しています。ユーザーは、電子メール ID とパスワードを入力してアカウントを作成できます。情報を安全に保存する方法を探しています。

私は〜になる

  1. メール ID とパスワードの暗号化
  2. ユーザーがメールを送信するたびにパスワードを入力する必要がないため、ユーザーのPCに暗号化キーを保存します

読んで分かったのは、

  1. 暗号化キーを別の場所に保存して、ハッカーが見つけにくくする必要があります。ただし、ここでの問題は、アプリケーションが Python で記述されており、オープン ソース アプリケーションになるため、ハッカーがソースを表示できることです。コーディングして、キーが格納されているディレクトリのパスを取得します。
  2. 2番目の解決策は、キーとして使用されるマスターパスワードを持つことができることです。ユーザーがコンピューターの起動後に初めてアプリケーションを開くと、アプリケーションはマスターパスワードを要求し、キーをRAMに保存できます.

このトピックに関するインターネット上のすべての記事を見ると、これは繰り返しですが、私はアプリケーションの作成をまだ学んでおらず、過去2日間、ループに陥っていますが成功していません.

OS: Linux Ubuntu 14.04

プログラミング言語/フレームワーク: Python/Gtk+

4

1 に答える 1

0

あなたの理解は正しいです。

ローカル キーにアクセスできる攻撃者がパスワードにアクセスするのを防ぐことはできません。保存されているパスを隠しても、追加のセキュリティは実質的にゼロです。復号化を実行するために必要なノウハウを持つ攻撃者は、そのようなメカニズムを簡単に回避できます。

これを行うための唯一の安全な方法は、鍵 (または鍵への鍵)をコンピューターのに保管することです。マスター パスワード メカニズムの場合は、ユーザーの心に保管します。

マスター パスワードを使用することになった場合は、適切なキー派生関数を使用することを忘れないでください。できれば、PBKDF2 や bcrypt などのキーストレッチメカニズムを使用してください。パスワードをキーとして直接(またはパスワードの単純なハッシュであっても) 使用しないでください。

于 2014-11-19T13:35:22.813 に答える