Jasypt StandardPBEStringEncryptor 在 spring bean 配置文件中设置密码

发布于 2024-09-10 15:18:31 字数 128 浏览 6 评论 0原文

当使用 Jasypt 的 StandardPBEStringEncryptor 时，我们必须在 spring bean 配置文件中显式设置密码。将密码放在 bean 配置文件中是否可以且安全？存储加密器密码是否会导致 PCI 合规性出现问题？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

你另情深 2024-09-17 15:18:31

这不符合 PCI 标准。数据加密密钥不能以明文形式存储。具体点是3.5.2，即：

检查系统配置文件以
验证密钥是否存储在
加密格式，并且
存储密钥加密密钥
与数据加密密钥分开。

您可能还会遇到有关密钥管理领域的其他问题，例如 3.6.6（密钥分割知识和双重控制）

验证密钥管理程序
实施要求拆分
按键知识和双重控制
（例如，需要两个或三个
人，每个人都只知道自己的
密钥的一部分，重建
整个钥匙）。

密钥管理是 PCI 合规性中最具挑战性的部分。您可能需要考虑使用（已符合 PCI 标准）第三方来管理您的卡数据。如果您自己实施，那么我建议您尽早寻求 QSA（PCI 合格安全评估员）的帮助来评估您计划实施的安全性。最终，您需要说服 QSA 才能通过 PCI 要求，他们会非常乐意提供建议。

回复收藏 0 原文

想挽留 2024-09-17 15:18:31

您需要将对称密钥存储在某处。配置文件是一个好地方，只要没有人可以访问它。

回复收藏 0 原文

独夜无伴 2024-09-17 15:18:31

我有一个想法，

您可以使用 keystore.jks 的 keyPair 加密所有纯密码。您知道 keystore.jks 有自己的密码。您可以记住该密码，并在程序启动时在控制台上输入该密码。例如，当您的程序启动时：

Console console = System.console();
        keyPair = loadKeystore(new String(console.readPassword()));


private static KeyPair loadKeystore(String pwd) {
        InputStream is = Main.class.getResourceAsStream("/keystore.jks");

        KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
        keystore.load(is, s.toCharArray());

        String alias = "youralias";

        Key key = keystore.getKey(alias, pwd.toCharArray());
        if (key instanceof PrivateKey) {
            // Get certificate of public key
            Certificate cert = keystore.getCertificate(alias);

            // Get public key
            PublicKey publicKey = cert.getPublicKey();

            // Return a key pair
            return new KeyPair(publicKey, (PrivateKey) key);
        }
        return null;
    }

当您返回密钥对时，您可以使用它来加密您的密码。

key = loadKeystore("yourpass").getPrivate().getEncoded()

好运

I have an idea

you can encrypt all of your plain password with keyPair of keystore.jks. You know that the keystore.jks has its own password. you can remember that password and when your program get started enter it on console. for example when your program start:

Console console = System.console();
        keyPair = loadKeystore(new String(console.readPassword()));


private static KeyPair loadKeystore(String pwd) {
        InputStream is = Main.class.getResourceAsStream("/keystore.jks");

        KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
        keystore.load(is, s.toCharArray());

        String alias = "youralias";

        Key key = keystore.getKey(alias, pwd.toCharArray());
        if (key instanceof PrivateKey) {
            // Get certificate of public key
            Certificate cert = keystore.getCertificate(alias);

            // Get public key
            PublicKey publicKey = cert.getPublicKey();

            // Return a key pair
            return new KeyPair(publicKey, (PrivateKey) key);
        }
        return null;
    }

when you return the keypair you can uses it for encrypt your password.