J'ai une application qui génère SecretKeys, une par client. Ceux-ci doivent être conservés dans notre base de données. Je ne connais pas vraiment les schémas de sécurité courants ou les implémentations, et je recherche des conseils.Questions de base sur l'utilisation de Keystore
La classe KeyStore semble être largement utilisée, notamment pour protéger SecretKeys. Cependant, j'ai vu peu parler de l'utilisation de KeyStore avec des bases de données, et j'essaie de comprendre si c'est parce que c'est un usage élémentaire (et donc pas mentionné), ou parce que c'est une approche mauvaise ou redondante, et je devrais vraiment utiliser une technique différente.
La conception de base est que chaque utilisateur aurait son propre keystore, qui serait sauvegardé/chargé de et vers la base de données par conversion en octets (en utilisant load() et store(), je pense).
Un problème avec ce design? Je me demande aussi comment je devrais gérer le mot de passe pour le KeyStore. Nous envisageons de n'utiliser qu'un seul mot de passe pour tous les KeyStores, mais comment pouvons-nous stocker CE de manière sécurisée sans un keystore?
Ceci est destiné à être utilisé dans une application back-end, et le client ne nous transférera jamais un mot de passe, ni un opérateur humain côté serveur pour fournir un mot de passe.