时间戳

首页 > 解决方案 > OpenPGP加密中的私钥存储问题

encryption - OpenPGP加密中的私钥存储问题

问题描述

我正在尝试在一个简单的消息传递应用程序上实现 OpenPGP 端到端加密,该应用程序将在网络和移动设备上访问。我一直在决定应该在哪里生成和存储我的私钥。以下两种方法都在讨论中(我不想采用方法 2,但这看起来是唯一可行的选择):-

密钥存储方法1:-

  1. 当用户第一次登录聊天客户端时,客户端(web/app)会生成一组公钥和私钥。

  2. 用户的公钥将被发送到后端服务器。用户的私钥将被加密并存储在客户端的本地存储中。

这种方法的问题:-

密钥存储方法2:-

  1. 在后端服务器上创建用户时,在后端本身使用 PGP 为用户创建公钥和私钥。公钥可以以纯文本形式存储,但用户的私钥应加密并存储。我们可以在这里使用带有客户端特定密码的对称加密。

  2. 当用户登录聊天客户端(web/app)时,登录时会从后端收到加密的私钥。为了解密任何消息,然后可以使用他们的密码解密他们的私钥,然后使用私钥解密收到的消息。

这种方法的问题:-

标签: encryptionstorageprivate-keyopenpgp

解决方案

注册。方法 1:如果客户没有机会分享他们的公钥,那么确实,您无法发送加密消息。目前尚不清楚您将如何解决该问题。您可以使用密码加密私钥并将加密版本上传到您的后端,以便客户端可以下载它并使其在其他设备上可用,正如您在第二种方法中所写的那样。或者您可以更进一步,从密码短语中生成私人密码。

您的方法 2 实际上可能没有更糟糕的安全属性,这取决于您如何看待它。您可能会争辩说,您无论如何都没有基础设施来让客户确保他们获得了正确的密钥材料。因此他们无法区分用户的实际公钥和服务器提供的恶意公钥。

当然,如何设计系统取决于您。我建议你开始列出你的要求。如果未知用户不需要接收加密消息,您的问题似乎会变小。

推荐阅读