Я пытаюсь разработать безопасный способ шифрования (на лету, вызывая его из приложения) и дешифровать важную информацию (кредитные карты) с помощью AES-256.
Целевая платформа:
кошка / etc / release
Solaris 10 10/09 s10s_u8wos_08a SPARC
Оптимальным решением было бы иметь возможность сохранять ключи в хранилище ключей и использовать encrpyt / decrypt (в сочетании с UUENCODE, чтобы полученную зашифрованную строку можно было сохранить в обычном поле БД).
Мы успешно протестировали всю цепочку, используя только AES-128 (из коробки с базовой установкой Solaris), и мы понимаем, что нам нужно обновить целевую среду. с правильным пакетом Solaris, чтобы получить AES-256 [пакет SUNWcry - разукрупненный комплект для шифрования данных Solaris].
Что ускользает от меня, так это то, как «зашифровать» доступ к ключу из хранилища ключей. В документации Oracle в качестве параметра командной строки упоминается "-K" (обратите внимание, что это верхний регистр K) для этого (см. Вот, например), но переключатель "-K", похоже, недоступен на нашей тестовой машине.
Это возможно? Связано ли это с конкретной версией Solaris? Если нет, можем ли мы получить это, установив что-нибудь еще? (Мы еще не установили пакет шифрования, чтобы получить доступ к AES-256, поэтому не знаю, будет ли это «бесплатно» с этим).
Я видел комментарий, в котором говорилось, что эта проблема закрыта для вас, но я чувствовал себя обязанным обратиться к другому пользователю Solaris.
В encrypt
и decrypt
Команды предоставляются пакетом SUNWcsu, а не пакетом SUNWcrypt.
В -K
опция входит в Solaris 11.
Другой вариант для вас может заключаться в развертывании собственного решения, если вы умеете писать код. вот пример:
http://blogs.oracle.com/sprack/entry/using_solaris_softtoken_keystore
Или используйте другое решение, основанное на зашифрованной файловой системе ZFS, чтобы защитить либо хранилище ключей, либо данные, либо и то, и другое. вот пример этого:
Если вы сохранили ключ шифрования / дешифрования (-k key
не -K keystore
) в зашифрованной файловой системе стек вашего приложения может использовать текущий encrypt
/decrypt
двоичные файлы для работы.
Или просто разверните Solaris 11, в котором на следующей неделе будет прекращена поддержка GA. :)