Достаточно безопасно, что шифрование и дешифрование с использованием JavaScript

Question

это библиотека javascript: jsencryption.js

я хочу использовать ее для:

1. шифрования данных пользователей на моем сайте изатем отправьте на сервер базы данных.
2. отправьте зашифрованные данные из базы данных в браузер-клиент, пользователь вставит key и

, затем отобразит необработанные данные.*

3.данные не сохраняют ключ, поэтому он более безопасен.

Я хочу знать, является ли путь достаточно безопасным или нет, как насчет http://www.passpack.com/en/home/

и как passpack.com сохранить пароль.

спасибо

Answer 1

Кажется, что существует несколько реализаций шифрования JavaScript AES-256, в том числе:

• http://www.movable -type.co.uk / скрипты / aes.html
• http://people.eku.edu/styere/Encrypt/JS-AES.html
• http://www.hanewin.net/encrypt/aes/aes-test.htm
• http://point -at-infinity.org / jsaes /

Прежде чем использовать какой-либо из них, вам следует проверить их с помощью тестовых векторов AES. Реализация от hanewin.net [заявляет об этом] [1].

[1]: - http://www.hanewin.net/encrypt/aes/aes.htm

Однако у меня есть несколько вопросов по поводу вашего базового дизайна. Какая у вас модель угрозы? Многие люди смотрели на шифрование / дешифрование в браузере. Но это не обязательно более безопасно, так как если кто-то взломает сервер, он может заминировать JavaScript в браузере. Конечно, это защитит вас от того, что кто-то скомпрометирует ваш сервер базы данных и загрузит таблицы, но шифрование на стороне сервера также сделает это. И большое преимущество шифрования на стороне сервера состоит в том, что вы можете использовать доверенные модули, такие как OpenSSL, и не беспокоиться о качестве реализации JavaScript.

Answer 2

Библиотека jsencryption.js, на которую вы ссылаетесь , заявляет следующее

• Используется 256-битное AES, стандарт, используемый правительством США
• Зашифрованный текст безопасен, пока вы сохраняете ключсекрет.Не потеряйте ключ.Если вы это сделаете, никто не сможет вам помочь!

Итак, да, если пароль достаточно надежный, это выглядит очень надежно (если кто-то не портит браузер или компьютер пользователя, подумайте, кейлоггер или злонамеренныйплагин firefox или сам сайт подрывает скрипт).