注册
登录
区块链扩展技术
应用集群中的数据加密
返回
应用集群中的数据加密
作者:
哦豁
发布时间:
2024-03-09 03:14:56 (4月前)
转自:
<div class =“excerpt”> 我有一个通过SSL访问的Web应用程序。为了加强后端的安全性,我们正在考虑增加对称性 <span class =“result-highlight”> 加密 </跨度> 对于数据库。 该应用程序分布在6台服务器上,只需要备份密钥和密钥库,以确保在发生灾难时我们总是有一个副本? AES仍然是一个坚实的密码吗?和对称的 <span class =“result-highlight”> 加密 </跨度> 通常比faster快 </DIV>
收藏
举报
2 条回复
0#
回复此人
坚挺的阿袁
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 的<strong> AES </强> </p> <P> AES是官方的“Avanced加密标准”,因此它仍然是对称密码的一个非常好的选择。较长的密钥大小的速度惩罚是 <a href="http://en.wikipedia.org/wiki/File%3aCbc128192256.jpg" rel="nofollow"> 微不足道 </A> 与改进的安全性相比。 </p> <P> 的<strong> 总体方法 </强> </p> <P> 首先,这种方法本身似乎很合理。但是你应该记住数据库中加密数据引入的缺点:没有更高效的索引,没有查询优化,一般没有选择性查询......如果你打算加密数据库的大部分甚至整个数据库你应该更好地了解数据库本身提供的加密功能。如果使用此方法,则还应使用SSL / TLS保护与数据库的连接,这很容易被忽略。这保留了“普通”数据库的所有好处,同时提供了您正在寻找的额外安全性。 </p> <P> 你丢失密钥是正确的:然后你遇到了大麻烦:)但是并非所有都丢失了,你仍然可以暴力破解JCEKS密钥库文件的密码...... </p> <P> 什么把我们带到那个资源。密钥存储和密码确实是一个鸡蛋和蛋的问题。对此唯一真正干净的解决方案是每次启动应用程序/数据库时手动输入密码。但这往往是一个真正的问题(想想:半夜崩溃),所以人们倾向于将密码存储在文件系统的文本文件中。只要您遵循一些指导原则,这是可以接受的: </p> <UL> <LI> 理想情况下,此文件将位于具有受限访问权限的其他计算机上 </LI> <LI> 如果它必须在同一台机器上,限制对该文件夹的访问权限 - 但不要忘记允许该应用程序访问它 </LI> <LI> 再次加密该文件通常没有用,再次出现鸡蛋问题。虽然BASE64编码的内容可以有利于首先防御技术上不那么精明 </LI> <LI> 很少有人知道密码(不能经常说) </LI> <LI> 您应该在保险箱中备份密码。 </LI> <LI> 不惜一切代价避免密钥库文件的扩散 </LI> </UL> <P> 如果你真的想要严格(假设只有一两个人应该知道密码),那么你可以另外安装一个 <a href="http://en.wikipedia.org/wiki/Secret_sharing" rel="nofollow"> 秘密分享 </A> 计划,但根据您的要求可能是矫枉过正。这样的方案将允许具有(本身无用的)秘密部分的个体组合部分以恢复实际秘密。这样,您可以通过将零件分散到更大的组来降低损失风险。 </p> </DIV>
编辑
登录
后才能参与评论
