如何解决NodeJS/Javascript 中的客户端加密
我正在做一个项目,我会从用户那里收到一些个人信息(最重要的是电话号码)。我一直在研究客户端加密和服务器端加密,但无法决定哪个更合适。
目前,数据库表包括两列:第 1 列存储加密的电话号码(使用非对称 RSA 加密),第 2 列存储最后四位数字的散列值。
我尝试这样做的原因是:1) 我正在尝试创建一个管理页面,我可以在其中查看电话号码(因此我不能只对电话号码进行哈希处理)和 2) 用户将使用他们电话号码的最后四位数字进行验证(因此,将最后四位数字与加密的完整电话号码进行比较会非常复杂)。
这是我用来实现非对称 RSA 加密的代码。根据我的理解,这种加密被认为是服务器端加密。如果我想使用客户端加密,我应该如何实现它?请帮忙!
解决方法
假设您使用 https
将数据从客户端传输到服务器(这是任何安全级别所必需的),因此无论如何您都将传输整个电话号码(因为您想要存储电话以可检索的方式获取数字),对任何东西进行客户端加密或散列都没有实际意义。只需在https的保护下将电话号码从客户端发送到服务器即可。而且,如果您发现存储最后四位哈希值的特别好的理由,您可以在服务器上根据整个电话号码计算该哈希值,然后再存储到数据库中。
而且,如果您不使用 https,那么请不要尝试重新发明您自己的公钥/私钥加密,以尝试在仍然使用 http 的同时获得 https 的一些好处。只需使用 https 并站在 30 多年发展的肩膀上,这些发展以及它提供的所有其他好处。
任何客户端对称加密都要求客户端上存在密钥,这是一个巨大的安全风险,因为任何客户端突然都可以访问您的密钥,这基本上使客户端加密毫无意义。这就是发明公钥加密并被 https 使用的全部原因。所以,就让 https 来保护客户端和服务器之间传输的数据。
您可以进行公钥/私钥加密,其中您的服务器有一个私钥,您将公钥提供给客户端,然后它使用它来加密数据,但目前尚不清楚您从中获得了什么好处,因为数据应该已经通过 https 的公钥/私钥加密传输保护了。
一旦数据在服务器上并且您希望将其存储在您的数据库中,则需要单独讨论是否要使用服务器存储的安全对称密钥在数据库中对其进行加密。有时这是个好主意,但有时情况是这样的,由于各种原因(主要是密钥本身并不比数据库更安全),这样做并不能真正提高您的安全级别。
我不知道您为什么要在服务器上使用公钥/私钥加密。如果一切都存储在服务器上,那是一堆额外的计算,没有真正的好处。使用公钥/私钥加密的一个重要原因是,您可以将公钥发给任何想要向您发送加密数据的人,但该公钥不能用于解密用它加密的数据。为此,人们必须拥有私钥。对于完全保存在服务器上并由服务器管理的数据,您已经必须保护私钥,因此您最好只使用对称密钥并对其进行保护。没有“第三方”要求您在无法解密数据的情况下加密数据,这是公钥/私钥加密的主要原因。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。