1

Тема: Як безпечно використовувати приватні ключі ?

Підкажіть будь ласка по такому питанню:

Мені потрібно підключити платіжну систему (LiqPay) до web-сайту (back-end на java).
Для цього я зареєструвався на сайті і отримав публічний і приватний ключ.

Зараз приватний (і публічний) ключ прописан безпосередньо у коді але як на мене так не повинно будти і приватний ключ потрібно зберігати окремо.

Яким чином потрібно зерігати і використовувати приватний ключ щоб їм не змогли заволодіти інші люди, наприклад адміністратор який супроводжує Apache Tomcat, на якому буде розгорнуто сайт.

2

Re: Як безпечно використовувати приватні ключі ?

Переважно ключі і паролі пишуться в конфіг файли які зберегаються поза папкою веб сайту. А от від адміна сервера сховати полюбому нічого не вийде. На те він і адмін.

Подякували: 0xDADA11C7, leofun012

3

Re: Як безпечно використовувати приватні ключі ?

Мабуть недоплачуєте голодній тварині адміну, того і боїтеся.

Говорила баба діду: «Я поїду к Білодіду, Ізучу двомовну мову І вернусь обратно знову». А дід бабі: «Не *изди, К Білодіду нєт їзди, — Туди не ходять поїзди»

4

Re: Як безпечно використовувати приватні ключі ?

На справді я сам працював майже 14 років адміном =))), а зараз вже працюю программістом.
Безпека  - це важливий момент в IT.
Плюс тут ПО працюе безпосередньо з грошима і має доступ до картки банка. Бажано усе зробити як можно безпечніше.

Подякували: 0xDADA11C71

5

Re: Як безпечно використовувати приватні ключі ?

Поняття адміністратор дуже широке. Це сис адміністратор, чи адміністратор вашого ПЗ? Проти останнього захиститися важко, так як він безпосередньо адмініструє софт. Якщо відносини адміна з Вашим ПЗ обмежуються ./tomcat restart, то шукайте методи захисту від MATE атак. Як правило це різновиди обфускації, в тому й різні хаки для захисту ключа в пам'яті, так як останній навіть за супер захищеного коду зчитується за кілька хвилин через дамп пам'яті (пошук ділянок з найбільшим рівнем ентропії).

У підсумку, я вважаю що це все з розділу YAGNI. Знадіть середовище якому Ви зможете довіряти, або правно зобов'яжіть, якщо це штатний адмін, нести особисту відповідальність за ключі і т.д. (хоча цілеспрямовано захищатися від своїх співробітників теж дивно якось :)).

-

офтоп:

Артем написав:

зареєструвався на сайті і отримав публічний і приватний ключ.

Це дивно. Це Ви маєте вигенерувати ключі і сайту віддати лише публічний ключ.

Подякували: leofun011

6

Re: Як безпечно використовувати приватні ключі ?

Усім длякую за відповіді.
Якщо знайду якесь безпечне рішення (на мій погляд) обовьязково напишу як це зробив.

7

Re: Як безпечно використовувати приватні ключі ?

Артем написав:

Усім длякую за відповіді.
Якщо знайду якесь безпечне рішення (на мій погляд) обовьязково напишу як це зробив.

Звісно автор ту вже радше не з'явиться, але хотів ще додати для інформації тим, хто цікавиться:
Остатньо дізнався про так звану white-box crypto, яка має на меті приховати ключі у пам'яті/коді шляхом, так би мовити, "вшиття" ключа до алгоритму. Здається, це саме те, що пасує автору.

Тема досить горяча і нова, все ще розвивається. Детальніше: http://www.whiteboxcrypto.com/.
Є кілька імлементацій, як от AES: https://github.com/ph4r05/Whitebox-crypto-AES-java (http://citeseerx.ist.psu.edu/viewdoc/su … .1.59.7710)

Подякували: leofun011