因此,我制作了一个创建“私钥”的脚本。这是具有AES-256但没有主密钥的普通加密/解密方法。数据由随机生成的加密密钥+ IV加密,并将这些值提供给用户。用户获得一串代码(通过bin2hex方法)。他们需要填写以便设置加密密钥值来解锁其数据。问题是;我目前正在通过更新$ _SESSION值来完成所有这些操作。因此,服务器采用$ _SESSION值,以便设置加密密钥值。但这似乎很不安全。因为该数据存储在包含“私钥”的会话文件中。因此,如果黑客可以访问服务器,则他/她将能够向用户解锁其数据。有没有更安全的方法,所以过程是更多的客户端?这只是为了使黑客无法访问私钥。
(私钥已使用KeK方法由主密钥加密,但仍可用作解密密钥。)