我們有一個openssl/kerberos/openssh用戶認證,它需要私鑰和公鑰對。重用認證密鑰對用於數據的加密和解密
我需要登錄並從數據庫中獲取一些數據。但我不允許以簡單的形式將數據存儲在數據庫中。 用於解密的私鑰需要異地存儲。
我們不想在oracle,db2,mysql等中使用transparrent數據加密,但創建自己的。
而不是添加另一個加密層,我可以重新啓用我已有的密鑰對。
這是爲了符合存儲敏感數據的PCIDSS要求。 https://www.pcisecuritystandards.org/security_standards/index.php
一些最佳實踐建議真的很感激。
謝謝
通常不建議使用相同的密鑰對進行驗證和加密。這就是爲什麼GnuPG密鑰實際上包含2個私人密鑰的原因。從密碼學者的角度來看,您需要存儲另一個密鑰對進行加密,或使用對稱密鑰進行數據加密。
你是否用同一個客戶端讀寫數據庫內容?如果是這樣,您可以使用一個symmeric加密並將密鑰存儲在客戶端上。
PCI是巨大的,錯誤可能會摧毀一個企業,因此找到專家可能是最好的。
這就是我的想法:如果所有數據只需要加密,以便只有非現場方可以打開它,請使用一個好的公鑰密碼系統來保存數據。 (請仔細閱讀文檔以確保磁帶庫使用會話密鑰加密數據,並使用對方的公鑰對會話密鑰進行加密。您不希望使用公鑰對數據進行加密如果需要存儲與每用戶密鑰的所有數據會話密鑰)
,你也可以這樣做,但Kerberos是專門設計,以避免公共密鑰密碼系統 - 他們去了大量的精力只使用對稱密碼來構建幾乎相似的東西。聰明,但這可能意味着你甚至不能使用你希望使用的密鑰(如果要求的確是只有非現場存儲的密鑰才能解密存儲的密文)。
希望這會有所幫助。