加密 App Engine 上的用户数据

Question

我正在编写一个 Web 和 Android 应用程序，允许用户存储和访问一些潜在的私人数据。通过 RPC 传输的数据已受到 SSL 保护。我目前将这段数据存储在 Text 属性中，没有任何加密。我现在正在寻找更好地保护数据存储的方法。

问题 1：对于加密 App Engine 上存储的数据，是否有任何通用的最佳实践或技巧？

我的一个想法是将属性切换到 Blob 字段，仅通过线路传输加密数据，并在客户端中进行解密和加密（在 Javascript 和 Android 上）。

对于加密密钥，我考虑仅使用 UserService 提供的登录用户的电子邮件地址。用户电子邮件地址仅在用户登录时才可知，并且敏感实体不引用用户的电子邮件地址，仅引用用户 ID。

问题 2：用户电子邮件地址作为加密密钥是否有意义？如果没有，还有哪些其他众所周知的加密密钥选项？

Answer 1

我不确定你能从中得到很多好处。通过 SSL 传输数据当然是一个好主意。如果您未加密地存储用户数据，那么有人仍然必须获得对您​​的数据存储的访问权限，然后才能劫持任何内容。如果您根据用户对象的属性加密数据，则必须在客户端加密/解密代码中公开该关系，因此本质上是公开的。获得对您的数据存储区和 App Engine 源的访问权限的人仍然可以解密所有内容，只是比较棘手。

一种替代方法是将加密密钥存储在服务器端，但采取一些额外的步骤来保护它。 永久禁止代码下载。将加密密钥保存在源代码中，而不是数据存储中，但也不在源代码管理中。将其粘贴在 USB 密钥上，然后编写一个自定义部署包装器，该包装器在最后一刻将密钥注入到您的代码中，进行部署，然后清理代码。这样，获得应用程序管理员权限和源代码控制访问权限的人仍然无法解密用户数据。您的部署计算机仍然容易受到攻击，但您已经减少了攻击空间。

如果您想更进一步，请让用户生成自己的加密密钥，并将其存储在客户端。切勿将它们传输到服务器。攻击者仍然可以针对一名用户，但包括您在内的任何人都无法批量解密用户数据。如果用户丢失了自选密钥，他们的数据将永远丢失。

Answer 2

将属性改为Blob确实是个好主意，这样加密和解密就会很容易了。使用一些默认库来加密数据。谈到下一点，使用电子邮件作为加密密钥确实是一个坏主意，您应该使用用户对象中可用的 User_id，它确实是唯一的。