কনফিগারেশন ফাইলগুলিতে পাসওয়ার্ড এনক্রিপ্ট করবেন? [বন্ধ]

আমার একটি প্রোগ্রাম রয়েছে যা একটি কনফিগারেশন ফাইল থেকে সার্ভারের তথ্য পড়ে এবং সেই কনফিগারেশনে পাসওয়ার্ডটি এনক্রিপ্ট করতে চাই যা আমার প্রোগ্রাম দ্বারা পড়ে এবং ডিক্রিপ্ট করা যায়।

requirments:

• ফাইলটিতে সঞ্চয় করতে প্লেটেক্সট পাসওয়ার্ড এনক্রিপ্ট করুন
• আমার প্রোগ্রাম থেকে ফাইল থেকে পড়া এনক্রিপ্ট করা পাসওয়ার্ড ডিক্রিপ্ট করুন

আমি কীভাবে এটি করতে যাব তার কোনও পুনরুদ্ধার? আমি আমার নিজের অ্যালগরিদম লেখার কথা ভাবছিলাম তবে আমি মনে করি এটি মারাত্মকভাবে নিরাপত্তাহীন হবে।

এটি করার একটি সহজ উপায় জাভায় পাসওয়ার্ড ভিত্তিক এনক্রিপশন ব্যবহার করা। এটি আপনাকে পাসওয়ার্ড ব্যবহার করে একটি পাঠ এনক্রিপ্ট এবং ডিক্রিপ্ট করতে দেয়।

এই মূলত একটি আরম্ভের মানে javax.crypto.Cipherআলগোরিদিম সঙ্গে "AES/CBC/PKCS5Padding"থেকে একটি কী পেয়ে javax.crypto.SecretKeyFactoryসঙ্গে "PBKDF2WithHmacSHA512"অ্যালগরিদম।

এখানে একটি কোড উদাহরণ রয়েছে (কম সুরক্ষিত MD5- ভিত্তিক বৈকল্পিক প্রতিস্থাপনের জন্য আপডেট করা হয়েছে):

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.security.AlgorithmParameters;
import java.security.GeneralSecurityException;
import java.security.NoSuchAlgorithmException;
import java.security.spec.InvalidKeySpecException;
import java.util.Base64;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;

public class ProtectedConfigFile {

    public static void main(String[] args) throws Exception {
        String password = System.getProperty("password");
        if (password == null) {
            throw new IllegalArgumentException("Run with -Dpassword=<password>");
        }

        // The salt (probably) can be stored along with the encrypted data
        byte[] salt = new String("12345678").getBytes();

        // Decreasing this speeds down startup time and can be useful during testing, but it also makes it easier for brute force attackers
        int iterationCount = 40000;
        // Other values give me java.security.InvalidKeyException: Illegal key size or default parameters
        int keyLength = 128;
        SecretKeySpec key = createSecretKey(password.toCharArray(),
                salt, iterationCount, keyLength);

        String originalPassword = "secret";
        System.out.println("Original password: " + originalPassword);
        String encryptedPassword = encrypt(originalPassword, key);
        System.out.println("Encrypted password: " + encryptedPassword);
        String decryptedPassword = decrypt(encryptedPassword, key);
        System.out.println("Decrypted password: " + decryptedPassword);
    }

    private static SecretKeySpec createSecretKey(char[] password, byte[] salt, int iterationCount, int keyLength) throws NoSuchAlgorithmException, InvalidKeySpecException {
        SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512");
        PBEKeySpec keySpec = new PBEKeySpec(password, salt, iterationCount, keyLength);
        SecretKey keyTmp = keyFactory.generateSecret(keySpec);
        return new SecretKeySpec(keyTmp.getEncoded(), "AES");
    }

    private static String encrypt(String property, SecretKeySpec key) throws GeneralSecurityException, UnsupportedEncodingException {
        Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        pbeCipher.init(Cipher.ENCRYPT_MODE, key);
        AlgorithmParameters parameters = pbeCipher.getParameters();
        IvParameterSpec ivParameterSpec = parameters.getParameterSpec(IvParameterSpec.class);
        byte[] cryptoText = pbeCipher.doFinal(property.getBytes("UTF-8"));
        byte[] iv = ivParameterSpec.getIV();
        return base64Encode(iv) + ":" + base64Encode(cryptoText);
    }

    private static String base64Encode(byte[] bytes) {
        return Base64.getEncoder().encodeToString(bytes);
    }

    private static String decrypt(String string, SecretKeySpec key) throws GeneralSecurityException, IOException {
        String iv = string.split(":")[0];
        String property = string.split(":")[1];
        Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        pbeCipher.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(base64Decode(iv)));
        return new String(pbeCipher.doFinal(base64Decode(property)), "UTF-8");
    }

    private static byte[] base64Decode(String property) throws IOException {
        return Base64.getDecoder().decode(property);
    }
}

একটি সমস্যা রয়ে গেছে: পাসওয়ার্ডগুলি এনক্রিপ্ট করার জন্য আপনি যে পাসওয়ার্ডটি ব্যবহার করছেন তা কোথায় সংরক্ষণ করবেন? আপনি এটি উত্স ফাইলে সংরক্ষণ করতে পারেন এবং এটি বিস্মৃত করতে পারেন, তবে এটি আবার খুঁজে পাওয়া খুব কঠিন নয়। বিকল্পভাবে, আপনি জাভা প্রক্রিয়া ( -DpropertyProtectionPassword=...) শুরু করার সময় আপনি এটি একটি সিস্টেম সম্পত্তি হিসাবে দিতে পারেন ।

আপনি কীস্টোর ব্যবহার করেন তবে একই সমস্যাটি রয়ে গেছে যা একটি পাসওয়ার্ড দ্বারা সুরক্ষিত। মূলত, আপনার কোথাও একটি করে মাস্টার পাসওয়ার্ড থাকা দরকার এবং এটি রক্ষা করা বেশ শক্ত।

হ্যাঁ, অবশ্যই আপনার নিজের অ্যালগরিদম লিখবেন না। জাভাতে প্রচুর ক্রিপ্টোগ্রাফি এপিআই রয়েছে।

আপনি যে ওএসটি ইনস্টল করছেন তাতে যদি কোনও কীস্টোর থাকে তবে আপনি এটি ব্যবহার করতে পারেন আপনার ক্রিপ্টো কীগুলি যা আপনার কনফিগারেশন বা অন্যান্য ফাইলগুলিতে সংবেদনশীল ডেটা এনক্রিপ্ট এবং ডিক্রিপ্ট করতে হবে।

পরীক্ষা করে দেখুন jasypt , যা একটি গ্রন্থাগার সর্বনিম্ন প্রচেষ্টার সঙ্গে মৌলিক এনক্রিপশন ক্ষমতা প্রস্তাব।

আমি মনে করি যে সবচেয়ে ভালো উপায় তা নিশ্চিত করার জন্য আপনার কনফিগ ফাইল (আপনার পাসওয়ার্ড ধারণকারী) হয় শুধুমাত্র একটি নির্দিষ্ট ব্যবহারকারীর অ্যাকাউন্টের সাথে প্রবেশযোগ্য । উদাহরণস্বরূপ, আপনার কাছে একটি অ্যাপ্লিকেশন নির্দিষ্ট ব্যবহারকারী থাকতে appuserপারে যার কাছে কেবলমাত্র বিশ্বস্ত লোকদের পাসওয়ার্ড রয়েছে (এবং যার কাছে suতাদের রয়েছে)।

এইভাবে, কোনও বিরক্তিকর ক্রিপ্টোগ্রাফি ওভারহেড নেই এবং আপনার কাছে এখনও একটি পাসওয়ার্ড রয়েছে যা সুরক্ষিত।

সম্পাদনা: আমি ধরে নিচ্ছি যে আপনি আপনার অ্যাপ্লিকেশন কনফিগারেশনটি কোনও বিশ্বস্ত পরিবেশের বাইরে রফতানি করছেন না (যা আমি নিশ্চিত নই যে প্রশ্নটি দেওয়ার পরে কোনও অর্থ হবে)

মাস্টার পাসওয়ার্ডের সমস্যাগুলি সমাধান করার জন্য - সর্বোত্তম পন্থাটি কোথাও পাসওয়ার্ড সংরক্ষণ করা নয়, অ্যাপ্লিকেশনটিকে নিজের জন্য পাসওয়ার্ড এনক্রিপ্ট করতে হবে - যাতে এটি কেবল সেগুলি ডিক্রিপ্ট করতে পারে। সুতরাং আমি যদি একটি। কনফিগ ফাইল ব্যবহার করতাম তবে আমি নিম্নলিখিতটি করতাম , মাইসেটেটিংস কনফিগ :

encryptTheseKeys = secretKey, anotherSecret

secretKey = unprotectedPasswordThatIputHere

anotherSecret = anotherPass

someKey = unprotectedSettingIdontCareAbout

সুতরাং আমি এনক্রিপ্টসিসকিগুলিতে উল্লিখিত কীগুলিতে পড়তে পারি, উপরের থেকে ব্রডওয়ালসের উদাহরণটি প্রয়োগ করুন এবং কোনও ধরণের চিহ্নিতকারী ( ক্রিপট বলতে দিন:) অ্যাপ্লিকেশনটি যাতে এটি না করতে দেয় সে জন্য ফাইলটিতে তাদের আবার লিখুন ) আবার, আউটপুটটি দেখতে এই রকম হবে:

encryptTheseKeys = secretKey, anotherSecret

সিক্রেটকি = ক্রিপ্ট: ii4jfj304fjhfj934fouh938

আরেকটি সেক্রেট = ক্রিপ্ট: jd48jofh48h

someKey = unprotectedSettingIdontCareAbout

আপনার নিজের সুরক্ষিত জায়গায় মূলগুলি নিশ্চিত করে রাখুন ...

সবচেয়ে বড় বিষয়, এবং রুমের হাতি এবং এটির সব কিছুই আপনার অ্যাপ্লিকেশনটি যদি পাসওয়ার্ডটি ধরে রাখতে পারে তবে বাক্সটিতে অ্যাক্সেস সহ একটি হ্যাকারও এটি ধরে রাখতে পারে!

এর চারপাশের একমাত্র উপায়, অ্যাপ্লিকেশনটি স্ট্যান্ডার্ড ইনপুট ব্যবহার করে কনসোলে "মাস্টার পাসওয়ার্ড" চেয়েছে এবং তারপরে এটি ফাইলটিতে সঞ্চিত পাসওয়ার্ডগুলি ডিক্রিপ্ট করার জন্য ব্যবহার করে। অবশ্যই, এটি সম্পূর্ণরূপে তৈরি করে যখন অ্যাপ্লিকেশনটি বুট হয় তখন অপ্রয়োজনীয় ওএসের সাথে শুরু করা অসম্ভব।

তবে, এই বিরক্তির এই স্তরের সাথেও, যদি কোনও হ্যাকার রুট অ্যাক্সেস পরিচালনা করতে সক্ষম হন (বা আপনার অ্যাপ্লিকেশনটি ব্যবহারকারী হিসাবে কেবল অ্যাক্সেস করতে পারে) তবে তিনি মেমরিটি ফেলে দিতে পারেন এবং পাসওয়ার্ডটি সেখানে খুঁজে পেতে পারেন find

নিশ্চিত করার বিষয়টি হ'ল, পুরো সংস্থাকে প্রোডাকশন সার্ভারে (এবং তারপরে পাসওয়ার্ডগুলিতে) অ্যাক্সেস না দেওয়া এবং নিশ্চিত করুন যে এই বাক্সটি ক্র্যাক করা অসম্ভব!

ESAPIs এনক্রিপশন পদ্ধতি ব্যবহার করে দেখুন। এটি কনফিগার করা সহজ এবং আপনি সহজেই আপনার কীগুলি পরিবর্তন করতে পারেন।

http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.html

আপনি

1) এনক্রিপ্ট 2) ডিক্রিপ্ট 3) স্বাক্ষর 4) স্বাক্ষরিত 5) হ্যাশিং 6) সময় ভিত্তিক স্বাক্ষর এবং আরও একটি মাত্র লাইব্রেরি সহ।

কনফিগারেশন ফাইলগুলিতে পাসওয়ার্ড (বা হ্যাশ) সংরক্ষণের জন্য জেটিতে কী পাওয়া যায় তা দেখুন এবং বিবেচনা করুন যে ওবিএফ এনকোডিং আপনার পক্ষে কার্যকর হতে পারে কি না। তারপরে উত্সে দেখুন এটি কীভাবে সম্পন্ন হয়।

http://www.eclipse.org/jetty/documentation/current/configuring-security-secure-passwords.html

আপনার কনফিগারেশন ফাইলগুলি কতটা সুরক্ষিত বা আপনার অ্যাপ্লিকেশনটি কতটা নির্ভরযোগ্য তার উপর নির্ভর করে, http://activemq.apache.org/encrypted-passwords.html আপনার পক্ষে ভাল সমাধান হতে পারে।

আপনি যদি পাসওয়ার্ডটি ডিক্রিপ্ট হওয়ার ভয় পান না এবং পাসওয়ার্ড কী সংরক্ষণ করার জন্য বিনের সাহায্যে কনফিগার করা খুব সহজ হতে পারে। তবে আপনার যদি আরও সুরক্ষার প্রয়োজন হয় তবে আপনি গোপনীয়তার সাথে একটি পরিবেশের পরিবর্তনশীল সেট করতে এবং লঞ্চের পরে এটিকে সরাতে পারেন। এটির সাথে আপনাকে অ্যাপ্লিকেশন / সার্ভারটি ডাউন হয়ে যাওয়া এবং অ্যাপ্লিকেশনটি স্বয়ংক্রিয়ভাবে পুনরায় চালু না হওয়ার বিষয়ে চিন্তা করতে হবে।

আপনি যদি জাভা 8 ব্যবহার করছেন তবে অভ্যন্তরীণ বেস 64 এনকোডার এবং ডিকোডার ব্যবহার করে প্রতিস্থাপন এড়ানো যায়

return new BASE64Encoder().encode(bytes);

সঙ্গে

return Base64.getEncoder().encodeToString(bytes);

এবং

return new BASE64Decoder().decodeBuffer(property);

সঙ্গে

return Base64.getDecoder().decode(property);

দ্রষ্টব্য যে এই সমাধানটি আপনার ডেটা সুরক্ষিত করে না কারণ ডিক্রিপটিংয়ের পদ্ধতিগুলি একই জায়গায় সংরক্ষণ করা হয়। এটি কেবল ভাঙ্গা আরও কঠিন করে তোলে। মূলত এটি মুদ্রণ করা এবং ভুল করে এটি সবার কাছে দেখাতে এড়ানো হয়।