使用用户选择的密码进行公钥加密？

Question

重点是设计一个简单的系统，用户可以在其中发送加密消息（在服务器的支持下）。

在这种情况下，客户端没有本地存储，因此我被迫使用用户可以在需要时选择、记住和输入的密码。 （我知道这会削弱整个系统，但这是一个硬性要求）

另一个要求是服务器不能存储明文私钥或任何其他可用于解密的数据消息（例如：只有用户可以读取加密消息，服务器管理员不应该能够）。

我的方法是在客户端生成非对称密钥对，在服务器上发布公钥以及私钥的加密副本（使用用户密码加密）。 然后，用户可以使用收件人发布的公钥向其他用户发送加密消息；当用户需要解密消息时，客户端从服务器获取他的（加密的）私钥，使用用户提供的密码进行解密，然后用于解密消息。

这有什么意义吗？这个系统设计有什么缺陷吗？ （除了用户选择短密码或错误密码而产生的弱点之外） 这种方法是否已经在类似场景中使用过？

谢谢 ：）

Answer 1

如果我理解正确的话，您想要创建一个系统，其中两个用户可以通过他们不信任的服务器发起私人通信。

这行不通。

在您设计的场景中，服务器可以生成自己的密钥对，并发布其公钥来代替用户的公钥。当用户加密消息并将其发送给其合作伙伴时，他们无法检测到服务器已替换其公钥。服务器解密消息，将其呈现给服务器管理员，并使用真实的合作伙伴公钥重新加密它（或他们制造的一些新消息），然后将其转发到目的地。

这里缺少的是证书颁发机构。这是一个受信任的第三方，对公钥和用户名之间的绑定进行数字签名。这种绑定称为证书。这样，当服务器向客户端提供用于加密的公钥时，客户端可以使用 CA 的公钥来验证证书，并确保他们要加密的公钥属于预期的接收者，而不是攻击者。

用户必须信任 CA，这可能比信任服务器管理员更容易接受。但是，还必须有一种防篡改的方式来存储 CA 证书。在实践中，这通常是使用基于密码的 MAC（消息验证码）来完成的。或者，CA 可以使用用户的私钥进行数字签名（从未见过这样做，但它会起作用）。但棘手的部分是从可信来源获取 CA 证书，绕过不可信的服务器。

至于用密码加密私钥，这种做法很常见，并且与您选择的密码一样安全。

或者，如果用户可以在带外相互共享秘密，则不需要公钥加密。客户端可以使用用户选择的密码对共享秘密进行加密，并将密文存储在服务器上。

Answer 2

如上所述，该方案似乎是合理的，因为它应该允许某人向另一个人发送只有收件人可以阅读的消息。您可能已经想到了一些项目，但为了简洁而忽略了：

• 加密私钥时，使用 PBKDF2 之类的盐和一些相当大的迭代次数。
• 这可能是隐含的，但与其使用公钥加密，不如生成随机密钥（例如，如果使用 AES-256，则生成 32 字节的随机数据）可能更有意义。使用该密钥加密消息，使用公钥加密密钥，然后发送两部分。
• 如上所述，没有发件人的身份信息。它允许发送纯粹的匿名消息。这可能是有意的，但如果不是，则需要某种识别/验证。
• 与前面的条目有些相似，没有描述消息验证。攻击者可以更改加密的消息，而收件人将无法得知它已被更改。不过，如果是短信的话，很明显它已经被修改了，因为它只是乱码。不过，有些类型的数据可能不太容易判断其是否已被修改。

Answer 3

这听起来有点像 hushmail 所做的。然而，存在一个主要问题，因为他们拥有用户的私钥（加密的），所以他们只需要推送一个被黑客攻击的java小程序，该小程序会将用户的密码传输到服务器（他们确实这样做了）。

更好的解决方案是完全避免在服务器上保留该私钥。由于不需要本地存储，这就不再适用了。

为什么不通过预共享密码使用对称加密？无需客户端存储即可完成。我相信这就是 @erickson 在他的最后一段中所说的。

Answer 4

主要问题是，如果从服务器下载解密代码，则（服务器管理员或已到达服务器的黑客）可以替换该代码。客户端的用户应该信任服务器，但他无法验证服务器以信任它。