Comment stocker en toute sécurité un secret ou une clé privée dans Silverlight 4?

Question

Ceci est une question spécifique à Silverlight 4. Silverlight 5 Beta répond déjà à cette préoccupation en fournissant un accès ProtectedData et DPAPI.

Ce n'est pas une question relative à la façon de stocker un mot de passe d'utilisateur, car ce hachage est la réponse.

Comment stocker un secret dans le client, d'une manière qui ne soit pas vulnérable à un vidage de la mémoire ou à la réflexion/décompilation? Ou pensez-vous que le protocole SSL est suffisamment sécurisé et qu'aucun chiffrement supplémentaire des données n'est nécessaire? Un exemple serait un utilisateur soumettant une demande de changement de mot de passe, dans laquelle l'ancien et le nouveau mot de passe doivent être envoyés au serveur pour l'opération. Supposons que les données sur le serveur sont sécurisées en mémoire et au repos.

Answer 1

Il est jamais sûr de stocker votre clé privée sur le client ... Voilà pourquoi il est privé :)

SSL est de 128 bits (minimum) et est beaucoup plus que suffisant pour tous vos besoins . Tant que vous forcez SSL. Si vous êtes vraiment inquiet, augmentez votre débit SSL et voilà.

"256 bits est à peu près égal au nombre d'atomes dans l'univers."

"Les techniques de force brute sont considérées comme irréalisables car les algorithmes de chiffrement modernes ont une longueur de 128 à 256 bits."

• Selon:. http://www.zdnet.com/blog/ou/is-encryption-really-crackable/204

Si le client a le programme, il y a toujours une chance d'obtenir votre clé stockée si vous intégrez dans