¿Es seguro este diseño para almacenar / compartir secretos?

Navega tus respuestas
1

Objetivos

Estoy implementando un sistema basado en la web que tiene los siguientes objetivos:

  1. Los usuarios pueden almacenar secretos (puede ser una contraseña o un archivo completo) en el servidor.

  2. El servidor no tiene conocimiento de las claves para el descifrado. De modo que si el servidor está comprometido, el atacante no podría descifrar los secretos.

  3. Los secretos se pueden compartir entre los usuarios.

Diseño

La principal amenaza que me preocupa a los efectos de esta pregunta es el compromiso del servidor. Quiero asegurarme de que si un atacante obtiene acceso al servidor o la base de datos (fuera de línea o en línea), no se exponen secretos. Entiendo que hay otras amenazas, como una cuenta de usuario comprometida. Se establecerán otros dispositivos de seguridad para protegerse contra eso.

Decidí que es más seguro que el servidor nunca vea un secreto de texto simple o el material clave. Por lo tanto, todo el cifrado se realiza del lado del cliente. Estoy usando asmCrypto .

  1. HTTPS se utiliza para todas las comunicaciones cliente / servidor. Los usuarios requieren cuentas, ya existe un sistema de autenticación.

  2. Los usuarios generan un par de claves RSA personales (2048 bits, e = 65537). La clave privada se encripta con AES-GCM usando una clave generada por PBKDF2 basada en la frase de contraseña proporcionada por el usuario. El servidor genera el nonce AES para garantizar la exclusividad. La clave pública del usuario y la clave privada encriptada se envían al servidor para ser almacenados.

  3. Cuando un usuario guarda un secreto, genera una clave única aleatoria (K) para ese secreto. Cifran el secreto con AES-GCM usando K y un objeto proporcionado por el servidor. Luego cifran K usando su propia clave pública y el relleno OAEP. Además, pueden cifrar K con la clave pública de otro usuario. Las copias cifradas de K se envían al servidor.

  4. Para leer el secreto (posiblemente de otra computadora), un usuario debe recuperar su clave privada cifrada del servidor. Descifran su clave privada del lado del cliente al proporcionar una frase de contraseña, que se alimenta a PBKDF2 para generar la clave AES. Una vez que se descifra su clave privada RSA, pueden descifrar la clave secreta (K) y, posteriormente, el secreto.

Preguntas

Sé que hay muchos escollos y posibles errores con el cifrado. He leído mucho para tratar de comprender la mejor manera de usar estos algoritmos (por ejemplo, el nonce único para AES-GCM, el valor de e para las claves RSA y la importancia de usar el relleno correcto). Sin embargo, no estoy completamente seguro de que este sea un diseño sensato.

¿Qué defectos ves en este diseño?

¿Son correctas las opciones de algoritmos y parámetros?

¿Hay alguna manera de juzgar la calidad de la biblioteca asmCrypto?

¿Me falta una solución más simple y obvia?

    
pregunta Nate H 27.06.2017 - 02:11
fuente

1 respuesta

0

Problema con confiar en el servidor

Si basa la aplicación web en el servidor, entonces, cuando el servidor está comprometido, la página web base o la biblioteca criptográfica se pueden comprometer / omitir directamente sin alertar a los usuarios.

Su infraestructura está construida sobre un lecho de arena si no puede confiar en el servidor.

Ataques :

  • Elimine totalmente el cifrado y el contenido no esté encriptado, los usuarios aún utilizan el software esperando que esté cifrado, pero no lo está. (las complicaciones son el contenido cifrado actual)
  • O simplemente enviar el 'secreto' al atacante directamente.

Todo el Criptografía de Javascript El problema considerado como perjudicial documenta este y otros problemas. Nota: este artículo menciona el caso de uso de las notas seguras.

    
respondido por el Andrew Russell 27.06.2017 - 03:59
fuente

Lea otras preguntas en las etiquetas

¿Debería una víctima del skimming comunicarse automáticamente con la policía y con su institución financiera? [cerrado] ¿Los clientes de SSL / TLS advierten sobre claves / hashes débiles con respecto a los certificados autofirmados?