重用身份验证密钥对来加密和解密数据

Question

我们有一个 openssl/kerberos/openssh 用户身份验证，需要私钥和公钥对。

我需要登录并从数据库中获取一些数据。但我不允许以普通形式将数据存储在数据库中。 并且用于解密的私钥需要异地存储。

我们不想使用像 oracle、db2、mysql 等那样的透明数据加密，而是创建我们自己的。

我可以重新使用已有的密钥对，而不是添加另一个加密层。

这是为了符合存储敏感数据的 PCIDSS 要求。 https://www.pcisecuritystandards.org/security_standards/index.php

一些最佳实践建议真的很感激。

谢谢

Answer 1

通常不鼓励使用相同的密钥对进行身份验证和加密。这就是为什么 GnuPG 密钥实际上包含 2 个私钥。从密码学家的角度来看，您需要存储另一个密钥对进行加密或使用对称密钥进行数据加密。

您是否始终使用同一客户端读取和写入数据库内容？如果是这样，您可以使用对称加密并将密钥存储在客户端上。

Answer 2

PCI 规模庞大，出错可能会毁掉一家企业，因此寻找专家可能是最好的选择。

也就是说，我的想法是：如果所有数据只需要加密以便只有场外方才能打开它，请使用良好的公钥密码系统来保存数据。 （充分阅读文档以确保库使用会话密钥加密数据，并使用远程方的公钥加密会话密钥。您永远不想使用以下方式加密数据公钥，只有会话密钥。）

如果所有数据都需要使用每个用户密钥存储，您也可以这样做，但 Kerberos 是专门为避免公钥密码系统而设计的 - 他们去了付出巨大的努力仅使用对称密码来构建几乎类似的东西。很聪明，但这可能意味着您甚至无法使用您希望使用的密钥（如果确实要求只有异地存储的密钥才能解密存储的密文）。

希望这有帮助。