如何保护 Web 服务器用于解密数据库中字符串存储的私钥？

Question

我正在开发一个小型应用程序，它将帮助用户通过废弃他们的 ISP 帐户页面轻松地从他们的 ISP 提供商处获取信息。为了实现这一点，我需要将他们的用户名和密码存储在我的数据库中。为了保证他们的密码安全，我将使用 openssl 公钥在我的数据库中对其进行编码，并在我的抓取工具登录到他们的帐户页面之前使用私钥对其进行解码。

我想知道将我的私钥放在哪里，这样即使有人控制了我的网络服务器，密码也是安全的？因为将私钥留在网络服务器上是完全不合适的...

tks

Answer 1

如果有人完全控制您的服务器并对这些密码感兴趣，他就会成功。始终考虑到这一点并制定在这种情况下该怎么做的计划。

现在，为了使其尽可能困难且不可能实现这一目标，我建议将密钥（或者更好的是密码）存储在某种内存表中：例如 Ramdisk，这是一个每分钟仅给出一个密码的脚本，并且如果调用超过此值，则删除自身等等。

我在这里没有看到使用公钥加密的任何积极效果，无论您使用什么，解密的密钥都必须存储在服务器上。您可以查找描述 https 证书问题的 Howtos，它们应该受到密码保护，并且必须在服务器启动时阅读 - 问题是相关的。

一个好的解决方案可能是登录服务器，将密码文件存储在虚拟磁盘中，然后注销。在服务器重新启动、崩溃或密码更改时重复此操作。