Yapılandırma Dosyalarında Parola Şifrelensin mi? [kapalı]

Bir yapılandırma dosyasından sunucu bilgilerini okuyan ve programım tarafından okunabilen ve şifresi çözülebilen bu yapılandırmadaki parolayı şifrelemek isteyen bir programım var.

İhtiyaçlara:

• Dosyada saklanacak düz metin parolayı şifreleyin
• Programımdan dosyadan okunan şifreli parolanın şifresini çöz

Bunu nasıl yapacağımla ilgili herhangi bir öneriniz var mı? Kendi algoritmamı yazmayı düşünüyordum ama son derece güvensiz olacağını hissediyorum.

Bunu yapmanın basit bir yolu, Java'da Parola Tabanlı Şifreleme kullanmaktır. Bu, bir parola kullanarak bir metni şifrelemenize ve şifresini çözmenize olanak tanır.

Bu temelde bir başlatılıyor demektir javax.crypto.Cipheralgoritması ile "AES/CBC/PKCS5Padding"ve bir anahtarı alma javax.crypto.SecretKeyFactoryile "PBKDF2WithHmacSHA512"algoritma.

Aşağıda bir kod örneği verilmiştir (daha az güvenli MD5 tabanlı varyantın yerini alacak şekilde güncellendi):

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.security.AlgorithmParameters;
import java.security.GeneralSecurityException;
import java.security.NoSuchAlgorithmException;
import java.security.spec.InvalidKeySpecException;
import java.util.Base64;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;

public class ProtectedConfigFile {

    public static void main(String[] args) throws Exception {
        String password = System.getProperty("password");
        if (password == null) {
            throw new IllegalArgumentException("Run with -Dpassword=<password>");
        }

        // The salt (probably) can be stored along with the encrypted data
        byte[] salt = new String("12345678").getBytes();

        // Decreasing this speeds down startup time and can be useful during testing, but it also makes it easier for brute force attackers
        int iterationCount = 40000;
        // Other values give me java.security.InvalidKeyException: Illegal key size or default parameters
        int keyLength = 128;
        SecretKeySpec key = createSecretKey(password.toCharArray(),
                salt, iterationCount, keyLength);

        String originalPassword = "secret";
        System.out.println("Original password: " + originalPassword);
        String encryptedPassword = encrypt(originalPassword, key);
        System.out.println("Encrypted password: " + encryptedPassword);
        String decryptedPassword = decrypt(encryptedPassword, key);
        System.out.println("Decrypted password: " + decryptedPassword);
    }

    private static SecretKeySpec createSecretKey(char[] password, byte[] salt, int iterationCount, int keyLength) throws NoSuchAlgorithmException, InvalidKeySpecException {
        SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512");
        PBEKeySpec keySpec = new PBEKeySpec(password, salt, iterationCount, keyLength);
        SecretKey keyTmp = keyFactory.generateSecret(keySpec);
        return new SecretKeySpec(keyTmp.getEncoded(), "AES");
    }

    private static String encrypt(String property, SecretKeySpec key) throws GeneralSecurityException, UnsupportedEncodingException {
        Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        pbeCipher.init(Cipher.ENCRYPT_MODE, key);
        AlgorithmParameters parameters = pbeCipher.getParameters();
        IvParameterSpec ivParameterSpec = parameters.getParameterSpec(IvParameterSpec.class);
        byte[] cryptoText = pbeCipher.doFinal(property.getBytes("UTF-8"));
        byte[] iv = ivParameterSpec.getIV();
        return base64Encode(iv) + ":" + base64Encode(cryptoText);
    }

    private static String base64Encode(byte[] bytes) {
        return Base64.getEncoder().encodeToString(bytes);
    }

    private static String decrypt(String string, SecretKeySpec key) throws GeneralSecurityException, IOException {
        String iv = string.split(":")[0];
        String property = string.split(":")[1];
        Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        pbeCipher.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(base64Decode(iv)));
        return new String(pbeCipher.doFinal(base64Decode(property)), "UTF-8");
    }

    private static byte[] base64Decode(String property) throws IOException {
        return Base64.getDecoder().decode(property);
    }
}

Geriye bir sorun kaldı: Parolaları şifrelemek için kullandığınız parolayı nerede saklamalısınız? Bunu kaynak dosyada saklayabilir ve gizleyebilirsiniz, ancak onu tekrar bulmak çok zor değildir. Alternatif olarak, Java işlemini başlattığınızda bunu bir sistem özelliği olarak verebilirsiniz ( -DpropertyProtectionPassword=...).

Aynı sorun bir parola ile korunan KeyStore'u kullanırsanız da devam eder. Temel olarak, bir yerde bir ana şifreniz olması gerekecek ve bunu korumak oldukça zordur.

Evet, kesinlikle kendi algoritmanızı yazmayın. Java'da çok sayıda kriptografi API'si vardır.

Yüklediğiniz işletim sisteminin bir anahtar deposu varsa, yapılandırmanızdaki veya diğer dosyalardaki hassas verileri şifrelemek ve şifresini çözmek için ihtiyaç duyacağınız şifreleme anahtarlarınızı saklamak için bunu kullanabilirsiniz.

Minimum çabayla temel şifreleme yetenekleri sunan bir kitaplık olan jasypt'e göz atın .

Bence en iyi yaklaşım, yapılandırma dosyanıza (parolanızı içeren) yalnızca belirli bir kullanıcı hesabı tarafından erişilebilir olmasını sağlamaktır . Örneğin, appuseryalnızca güvenilir kişilerin şifresine sahip olduğu (ve sahip oldukları su) uygulamaya özel bir kullanıcıya sahip olabilirsiniz .

Bu şekilde, can sıkıcı bir şifreleme yükü yoktur ve yine de güvenli bir şifreniz vardır.

DÜZENLEME: Uygulama yapılandırmanızı güvenilir bir ortamın dışına aktarmadığınızı varsayıyorum (soru göz önüne alındığında herhangi bir anlam ifade edeceğinden emin değilim)

Ana parola sorunlarını çözmek için - en iyi yaklaşım parolayı herhangi bir yerde saklamamaktır, uygulama parolaları kendisi için şifrelemelidir - böylece yalnızca onların şifresini çözebilir. Yani bir .config dosyası kullanıyor olsaydım, aşağıdakileri yapardım , mySettings.config :

encryptTheseKeys = SecretKey, anotherSecret

SecretKey = unprotectedPasswordThatIputHere

anotherSecret = anotherPass

someKey = unprotectedSettingIdontCareAbout

bu yüzden, encryptTheseKeys'de belirtilen anahtarları okurdum, Brodwalls örneğini yukarıdan uygulayıp, uygulamaya bunu yapmamasını bildirmek için bir tür işaretçi ile ( crypt diyelim ) dosyaya geri yazarım . yine çıktı şöyle görünecektir:

encryptTheseKeys = SecretKey, anotherSecret

secretKey = crypt: ii4jfj304fjhfj934fouh938

anotherSecret = crypt: jd48jofh48h

someKey = unprotectedSettingIdontCareAbout

Orijinalleri kendi güvenli yerde sakladığınızdan emin olun ...

Önemli olan, odadaki fil ve tüm bunlar, uygulamanız şifreyi ele geçirebilirse, kutuya erişimi olan bir bilgisayar korsanı da onu ele geçirebilir!

Bunun etrafından dolaşmanın tek yolu, uygulamanın Standart Giriş'i kullanarak konsolda "ana şifre" sorması ve ardından bunu dosyada depolanan şifrelerin şifresini çözmek için kullanmasıdır. Elbette bu, uygulamanın önyüklendiğinde işletim sistemi ile birlikte gözetimsiz olarak başlatılmasını tamamen imkansız hale getirir.

Bununla birlikte, bu düzeyde bir rahatsızlıkla bile, bir bilgisayar korsanı root erişimini (hatta uygulamanızı çalıştıran kullanıcı olarak erişmeyi) başarırsa, hafızayı boşaltabilir ve şifreyi orada bulabilir.

Sağlanması gereken şey, tüm şirketin üretim sunucusuna (ve dolayısıyla şifrelere) erişmesine izin vermemek ve bu kutuyu kırmanın imkansız olduğundan emin olmaktır!

ESAPI Şifreleme yöntemlerini kullanmayı deneyin. Yapılandırması kolaydır ve ayrıca anahtarlarınızı da kolayca değiştirebilirsiniz.

http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.html

Sen

1) şifreleme 2) şifre çözme 3) işaretleme 4) işaretsiz 5) karma 6) zaman tabanlı imzalar ve çok daha fazlası tek bir kitaplıkla.

Yapılandırma dosyalarında parolayı (veya karmaları) depolamak için Jetty'de nelerin mevcut olduğuna bakın ve OBF kodlamasının sizin için yararlı olup olmayacağını düşünün. Sonra nasıl yapıldığını kaynakta görün.

http://www.eclipse.org/jetty/documentation/current/configuring-security-secure-passwords.html

Yapılandırma dosyalarına ne kadar güvenli ihtiyacınız olduğuna veya uygulamanızın ne kadar güvenilir olduğuna bağlı olarak, http://activemq.apache.org/encrypted-passwords.html sizin için iyi bir çözüm olabilir.

Şifrenin çözülmesinden çok korkmuyorsanız ve şifre anahtarını saklamak için bir fasulye kullanarak yapılandırmak gerçekten basit olabilir. Bununla birlikte, daha fazla güvenliğe ihtiyacınız varsa, gizli bilgiyle bir ortam değişkeni ayarlayabilir ve başlattıktan sonra kaldırabilirsiniz. Bununla birlikte, uygulamanın / sunucunun kapanması ve uygulamanın otomatik olarak yeniden başlatılmaması konusunda endişelenmeniz gerekir.

Eğer kullanıyorsanız java 8 dahili Base64 kodlayıcı ve kod çözücü kullanımının değiştirilmesi önlenebilir

return new BASE64Encoder().encode(bytes);

ile

return Base64.getEncoder().encodeToString(bytes);

ve

return new BASE64Decoder().decodeBuffer(property);

ile

return Base64.getDecoder().decode(property);

Şifre çözme yöntemleri aynı yerde saklandığından, bu çözümün verilerinizi korumadığını unutmayın. Sadece kırılmayı daha da zorlaştırıyor. Esas olarak, yazdırmaktan ve yanlışlıkla herkese göstermekten kaçınır.