私はあなたが使用している特定の技術を知らないので、私の答えは一般的に重要なストレージ問題を指摘します。
まず、二つの大きな発言:
- でも、いくつかの重い特殊なハードウェア(銀行やその他の重要なシステムは、このために、ハードウェア・セキュリティ・モジュール-HSMs-を使用)で、あなたの鍵が盗まれた取得の危険性が常にあります。あなたが選んだことは、あなたの鍵の重要性とそれを保護するためにどれくらいあなたがしたいのかによって決まります。私はハードウェアに関連するソリューションについて言及しないようにしようとしています。なぜなら、これらのソリューションは大抵の場合、大部分の人にとって過度のものです
- あなたが従うことができます、しかし、良い習慣があります。https://www.owasp.org/index.php/Cryptographic_Storage_Cheat_Sheet
さて、いくつかのアドバイスが。あなたが何をするにしても、あなたのキーをプレーンテキストで保存しないでください。公開鍵暗号を使用している場合は、PKCS12ファイル(通常は拡張子.p12または.pfx)がデータを保存する標準的な方法です。通常はパスワードで保護されています。
ここで問題が発生します。鍵を持っている場合は、それを使用する必要があります。キーを使用すると、少なくともRAMでは "平文"になります。したがって、鍵をできるだけ隔離した状態に保つためのアクセスを可能にする方法が必要です。アクションがユーザーによってトリガーされた場合、キーを使用する前にパスワードを尋ねることができるので、状況は比較的良好です。
ただし、アクションが自動化されている場合は、パスワードを保存する方法を見つける必要があります。
- は、コマンドラインでパスワードを尋ね:いくつかのPGPの実装のようにもセキュリティソフトウェアは素敵ではありません、このためのアプローチを持っているコマンドは私のパスワードを-password。これは、バットに入れて、働く。パスワードは保存されており、オペレーティングシステムに応じて、
history
というコマンドでも使用できます。
- ファイルに保存します。少なくとも、コピーは残しませんが、パスワードは平文のままです。
- システムデータを暗号化キーとして使用して暗号化します。パスワードは比較的保護されていますが、移植性が失われ、コンピュータにアクセスする攻撃者はコントロールによって停止されません。
- サービスがオンになったらパスワードを尋ねます。少し妥当ですが、常に可能なわけではありません(サービスは重要ですが、1人だけがパスワードを持っていれば、可用性が損なわれる可能性があります)。
- スレッショルドの解読ではすばらしいことが起こる可能性がありますが、それはあまりにも多すぎます。
おそらくできることは、フレームワークが許可するものとシステムの使用方法によって異なりますが、さまざまなオプションの参考になると思います。いずれにしても、は、自分でに暗号化機能を実装していません。不正な暗号は、暗号を全く持たないよりも悪いです。