我想知道是否有协议。
我们的想法是在服务器上安装一些加密数据。
现在我想找到一个符合以下要求的协议。
由于主动管理密钥超出了大多数用户愿意忍受的密钥,因此密码保护密钥存储在服务器上。
服务器不应该能够解密数据。即无法学习密码
第三方不应该访问密码保护密钥,因为他们不知道密码。
只应该有一个密码。用2个密码解决这个问题很简单。一个用于下载受保护的密钥,另一个用于取消保护密钥
解决方案可能涉及密码知识的某种零知识证明。
答案 0 :(得分:2)
从同一密码生成多个密钥和身份验证哈希没有问题。在任何情况下,您都不应该将真实密码发送到服务器。你想先通过PBKDF2发送它。我通常的身份验证建议如下:
salt = static-per-app-token + username
key = PBKDF2(salt, password, > 10000 iterations)
send key to server
on server: finalkey = SHA512(key) // This step keeps someone who steals your auth database from logging in
compare finalkey to database
根据该程序,您只需修改PBKDF2步骤,即可根据需要生成两次密钥。前X个字节用于验证,底部X字节用于解密。 PKBDF2可以创建任意数量的字节,只有一半的字节不能帮助你弄清楚另一半。
针对您的具体问题,这可能是最方便,性能最佳的。你也可以按照你的建议做,并使用两种不同的盐用于PBKDF2。那也没关系。它只需要两倍的计算时间。如果这不是问题,那么它是一个非常简单的解决方案,根据您的代码可能更方便。
但是,为了让讨论又迈出一步,让我们说你没有密码。你有一个(随机)密钥,你想从中创建独立的密钥。或者您已经拥有了PBKDF2的输出,并希望将其扩展为更多键。在这种情况下,您可以使用HKDF展开密钥。这个过程很简单(||表示"连接"):
prk = psuedorandom key (your input key)
info = some-random-token || username
T(0) = empty string (zero length)
T(1) = HMAC-Hash(PRK, T(0) | info | 0x01)
T(2) = HMAC-Hash(PRK, T(1) | info | 0x02)
T(3) = HMAC-Hash(PRK, T(2) | info | 0x03) ...
你继续构建T(n),直到你的所有密钥都有足够的字节。将所有T(n)结果粘合在一起,然后将其切片以将密钥输出。这比PBKDF2快得多,如果需要,可以应用于PBKDF2的输出。
请查看RNCryptor v4 spec,了解将单个密码扩展为一堆不同密钥和随机值的过程示例。
密码仍然很糟糕,而且这些密码都不能解决严重错误选择的密码,但如果密码难以猜测,至少可以将这些密码堆叠起来。