Стратегия кодирования для защиты конфиденциальных данных

Веб-приложение содержит конфиденциальные данные пользователей. Ни оператор веб-приложения, ни хостинг-провайдер не должны иметь возможность видеть эти данные. Поэтому я хотел хранить эти данные в БД, зашифрованном с входным паролем пользователей.

dataInDB = encrypt (rawData, user password)

При такой стратегии невозможно реализовать обычный прецедент для восстановления пароля: поскольку обычно веб-приложение хранит только хэш-значение пароля, приложение не может отправить старый, забытый пароль пользователю. И с назначением нового совпадающего пароля зашифрованные данные в БД более не читаются.

Есть ли другое решение?

Ответы

Ответ 1

Возможное решение (я не несу ответственность за любое уничтожение):

При шифровании конфиденциальных данных не используйте пароль пользователя в качестве ключа. Скорее, выведите ключ из пароля пользователя (желательно с использованием стандартного алгоритма, такого как PBKDF2). На всякий случай пользователь забывает свой пароль, вы можете сохранить копию этого производного ключа (зашифрованного с использованием другого ключа, полученного из ответа пользователя). Если пользователь забывает свой пароль, он может ответить на их вопрос безопасности. Только правильный ответ расшифрует исходный пароль (не оригинальный пароль). Это дает вам возможность повторно шифровать конфиденциальную информацию.

Я продемонстрирую использование (Python-esque) псевдокода, но сначала рассмотрим возможную таблицу для пользователей. Не догоняйтесь в колонках, они скоро станут ясными...

CREATE TABLE USERS
(
    user_name               VARCHAR,

    -- ... lots of other, useful columns ...

    password_key_iterations NUMBER,
    password_key_salt       BINARY,
    password_key_iv         BINARY,
    encrypted_password_key  BINARY,
    question                VARCHAR,
    answer_key_iterations   NUMBER,
    answer_key_salt         BINARY
)

Когда приходит время регистрации пользователя, они должны задать вопрос и ответить:

def register_user(user_name, password, question, answer):
    user = User()

    # The question is simply stored for later use
    user.question = question

    # The password secret key is derived from the user password
    user.password_key_iterations = generate_random_number(from=1000, to=2000)
    user.password_key_salt = generate_random_salt()
    password_key = derive_key(password, iterations=user.password_key_iterations, salt=user.password_key_salt)

    # The answer secret key is derived from the answer to the user security question
    user.answer_key_iterations = generate_random_number(from=1000, to=2000)
    user.answer_key_salt = generate_random_salt()
    answer_key = derive_key(answer, iterations=user.answer_key_iterations, salt=user.answer_key_salt)

    # The password secret key is encrypted using the key derived from the answer
    user.password_key_iv = generate_random_iv()
    user.encrypted_password_key = encrypt(password_key, key=answer_key, iv=user.password_key_iv)

    database.insert_user(user)

Если пользователь забудет свой пароль, системе все равно придется попросить пользователя ответить на их вопрос безопасности. Их пароль не может быть восстановлен, но ключ, полученный от пароля, может быть. Это позволяет системе повторно шифровать конфиденциальную информацию с помощью нового пароля:

def reset_password(user_name, answer, new_password):
    user = database.rerieve_user(user_name)

    answer_key = derive_key(answer, iterations=user.answer_key_iterations, salt=user.answer_key_salt)

    # The answer key decrypts the old password key
    old_password_key = decrypt(user.encrypted_password_key, key=answer_key, iv=user.password_key_iv)

    # TODO: Decrypt sensitive data using the old password key

    new_password_key = derive_key(new_password, iterations=user.password_key_iterations, salt=user.password_key_salt)

    # TODO: Re-encrypt sensitive data using the new password key

    user.encrypted_password_key = encrypt(new_password_key, key=user.answer_key, iv=user.password_key_iv)

    database.update_user(user)

Конечно, существуют некоторые общие криптографические принципы, явно не выделенные здесь (режимы шифрования и т.д.), за которые разработчик должен ознакомиться.

Надеюсь, это поможет немного!:)

Обновить любезность комментария Eadwacer

Как сказал Eadwacer:

Я бы не стал выводить ключ непосредственно из пароля (ограниченная энтропия и смена пароля потребуют повторного шифрования всех данных). Вместо этого создайте случайный ключ для каждого пользователя и используйте пароль для шифрования ключа. Вы также зашифровали бы ключ, используя ключ, полученный из вопросов безопасности.

Вот модифицированная версия моего решения, в которой учитываются его отличные рекомендации:

CREATE TABLE USERS
(
    user_name                      VARCHAR,

    -- ... lots of other, useful columns ...

    password_key_iterations        NUMBER,
    password_key_salt              BINARY,
    password_encrypted_data_key    BINARY,
    password_encrypted_data_key_iv BINARY,
    question                       VARCHAR,
    answer_key_iterations          NUMBER,
    answer_key_salt                BINARY,
    answer_encrypted_data_key      BINARY,
    answer_encrypted_data_key_iv   BINARY,
)

Затем вы зарегистрируете пользователя следующим образом:

def register_user(user_name, password, question, answer):
    user = User()

    # The question is simply stored for later use
    user.question = question

    # The randomly-generated data key will ultimately encrypt our sensitive data
    data_key = generate_random_key()

    # The password key is derived from the password
    user.password_key_iterations = generate_random_number(from=1000, to=2000)
    user.password_key_salt = generate_random_salt()
    password_key = derive_key(password, iterations=user.password_key_iterations, salt=user.password_key_salt)

    # The answer key is derived from the answer
    user.answer_key_iterations = generate_random_number(from=1000, to=2000)
    user.answer_key_salt = generate_random_salt()
    answer_key = derive_key(answer, iterations=user.answer_key_iterations, salt=user.answer_key_salt)

    # The data key is encrypted using the password key
    user.password_encrypted_data_key_iv = generate_random_iv()
    user.password_encrypted_data_key = encrypt(data_key, key=password_key, iv=user.password_encrypted_data_key_iv)

    # The data key is encrypted using the answer key
    user.answer_encrypted_data_key_iv = generate_random_iv()
    user.answer_encrypted_data_key = encrypt(data_key, key=answer_key, iv=user.answer_encrypted_data_key_iv)

    database.insert_user(user)

Теперь сброс пароля пользователя выглядит следующим образом:

def reset_password(user_name, answer, new_password):
    user = database.rerieve_user(user_name)

    answer_key = derive_key(answer, iterations=user.answer_key_iterations, salt=user.answer_key_salt)

    # The answer key decrypts the data key
    data_key = decrypt(user.answer_encrypted_data_key, key=answer_key, iv=user.answer_encrypted_data_key_iv)

    # Instead of re-encrypting all the sensitive data, we simply re-encrypt the password key
    new_password_key = derive_key(new_password, iterations=user.password_key_iterations, salt=user.password_key_salt)

    user.password_encrypted_data_key = encrypt(data_key, key=new_password_key, iv=user.password_encrypted_data_key_iv)

    database.update_user(user)

Надеюсь, моя голова все еще функционирует сегодня ясно...