检索密钥的安全方法

Question

我正在开发一个带有红色按钮的应用程序。这意味着每个客户帐户都有两个自动生成的（秘密）密钥。当有人在特殊（公共）页面上输入这些密钥时，就会启动特定的过程。该过程并不重要，但这

一切都已解决，密钥在创建用户帐户时自动生成，加密存储在数据库中，并向用户显示一次，以便他可以按照自己认为合适的方式分发密钥。如果他愿意的话，他当然可以重置钥匙。

问题是，有些客户总是忘记带钥匙。我们的解决方案是重置密钥并重新分发新密钥，但对于某些客户来说这是不切实际的。我想提供检索密钥而不重置密钥的选项。

我的想法是能够使用用户的密码解密密钥，这意味着已经登录的用户必须再次输入他的密码，该密码用于加密密钥，现在用于解密它们。我只是不确定这在技术上是如何工作的（是否有我可以使用的加密/解密算法？）以及在采用这种技术之前是否应该考虑什么。

有人对此有什么想法吗？也许还有更好的建议？

Answer 1

您想查看 AES 等密码。

我会查看 这个 gisthub 示例，了解如何使用 Ruby 和 AES 进行加密和解密。