我们使用 GnuPG 加密数据,并将其上传到中央存储。
公钥存储在网络服务器上,如果公钥发生变化,加密脚本会重新下载。这样做是为了在所有服务器上轻松刷新公钥。
经过一些安全思考后,我产生了一种疑虑,担心有人可以(不太可能,但有可能)侵入网络服务器,并用自己的公钥替换公钥。
这会带来两个非常不愉快的影响:
1) 如果黑客能够闯入中央存储,他就能读取数据。
2)即使他不这样做 - 我们也无法读取数据,因为私钥已经被更改,一切都可以视为丢失!
有人可以建议如何防止这种威胁,或者建议一种更强大但仍然方便的密钥刷新方法吗?
谢谢!
答案1
使用推送模型。
push 有几个优点:
- 从中央服务器承担负载(取决于同时有多少客户端访问服务器)
- 中央服务器上没有密钥——你可以将密钥放在一个无法通过网络访问的特别坚固的盒子里
- 你确定密钥分发服务器是你的问题吗?这是一个公钥。注意民众密钥对的一部分。除此之外:分发该密钥将使其在任何其他服务器上可用。为什么分发服务器比其他任何服务器都更容易受到攻击?
再说一遍:
如果我理解正确的话,你开始担心有人会访问公钥?
这是一个公钥,公钥不会给潜在攻击者任何机会读数据一旦它被加密并发送到服务器(假设加密软件中没有错误)。
攻击媒介是某人闯入向中央存储发送数据的服务器之一,并通过注入大量无用的数据来对其进行拒绝服务攻击,从而将数据写入磁盘直至磁盘已满。