キーストアをソース コードと共に公開レポジトリに保存することのセキュリティへの影響は何ですか?
レポに保存する理由は利便性です。「git pull または clone」を実行してローカル マシンでビルドする場合 (たとえば sbt sign-release を使用)、依存関係はありません。プロンプトが表示されたらパスワードを入力するだけで、署名付きアプリケーションが作成されます。
パスワード生成プログラムから取得した 20 文字のパスワード (文字、数字、特殊文字など) で保護するとします。攻撃者が攻撃を開始してキーストアの秘密鍵にアクセスすることは計算上不可能だと思います。キーストアを公開リポジトリに保存することが安全かどうかについて、セキュリティ/暗号化の専門家の意見を求めています。
ありがとう
キーリングを非表示にし、コードは「隠すことによるセキュリティ」プリンシパルに属します。理論的にはセキュリティはこの概念からはほど遠いはずですが、そのようなシナリオでは、公開リポジトリに機密データを公開すると、キーリングの特定の脆弱性や安全なアルゴリズムの実装に作用する攻撃にさらされる可能性があります。すぐ。
つまり、使用するすべてのアルゴリズムは100%安全であり、キーリングもありますが、キーリングのバージョンには、特定の脆弱性やバグ、または安全なアルゴリズムの不適切な実装が含まれている可能性があります。
したがって、そのデータを公開リポジトリに公開すると、スキルを証明したいだけのハッカーにさらされる可能性があります。
私はいくつかの研究をしました。keytool はどのようにキーを保護しますか?で JKS アルゴに関する情報を見つけました。JKS 保護( http://metastatic.org/source/JKS.html ) 。
これに基づいて、私は自分の質問に答えています: 20 文字のランダムに生成されたパスワードで、長さ 20 バイトのランダムソルトと連鎖 SHA1(パスワード、ソルト) を使用して、長さが等しいランダムストリームを取得するという結論に達しました鍵の長さは 2048 であり、これは秘密鍵と XOR されており、近い将来に秘密鍵を抽出することは計算上不可能です。