Mam aplikację asp.net i chcę przechowywać klucz szyfrujący szeroki komputer, który będę używać w aplikacjach, podczas korzystania z systemu kryptograficznego DPAPI.Najlepsze praktyki dotyczące przechowywania kluczy tajnych
Jakie są najlepsze praktyki przechowywania klucza - gdzie mam go przechowywać?
Dzięki.
Bardzo niebezpieczne jest przechowywanie dowolnego klucza jako zwykłego tekstu na dowolnym nieulotnym i niebezpiecznym medium (takim jak dysk twardy). Na takich nośnikach należy przechowywać tylko podpisaną zaszyfrowaną wersję klucza, a dostęp do szyfrowanego klucza powinien być zabezpieczony.
Prawdziwa praca to modelowanie potrzeb bezpieczeństwa, określenie polityki zarządzania kluczami i jej wdrożenie.
Dzięki. Co chcę przechowywać to plik zawierający zaszyfrowany klucz, więc dostęp do niego mogą uzyskać tylko moje aplikacje w określonej puli aplikacji. Również proces tworzenia tego klucza polega na podaniu hasła, a następnie zaszyfrowaniu go za pomocą DPAPI i zapisaniu go w pliku, o którym wspomniałem. – Nice
Od kogo należy zachować klucz w tajemnicy? Użytkownicy końcowi? Administratorzy serwerów? Wróżki? –
Obserwuj te wróżki, są bardzo podstępne. – Lazarus
Najlepsza metoda przechowywania sekretu zależy całkowicie od tego, z kim starasz się ukryć sekret. – rook