Шифрование пользовательских данных для веб-приложения Java (Spring / Jboss)

Question

мы сохраняем пользовательские данные на сервере и хотим сохранить эти данные в зашифрованном виде с помощью TrueCrypt.

Если пользователь регистрируется, мы генерируем для него асимметричный ключ, который шифруется его паролем.Этот асимметричный пользовательский ключ зашифрует все ключи, которые используются для сервисов, включая вышеупомянутое шифрование данных.

Если мы теперь хотим прочитать файлы пользователей, добавьте новые и измените существующие из нашей JavaПриложение, работающее на сервере приложений, должны ли мы монтировать контейнер TrueCrypt?Мы думаем, что это может быть утечка безопасности, поскольку злоумышленник может легко заглянуть в смонтированный контейнер, но у нас также нет другой идеи - мы немного застряли!

Я уверен, что кто-то может помочь нам здесь.

Спасибо, Генрих

@ edit Кстати, мы используем Spring для вашего Java-приложения.

Answer 1

Я не думаю, что это хорошая идея - использовать TrueCrypt для этого варианта использования. При использовании TrueCrypt у вас нет другого выбора, кроме как монтировать его при каждом запросе к зашифрованным файлам. Вам следует подумать об использовании простого Java-шифрования и самостоятельно выполнять шифрование и дешифрование. Существуют такие библиотеки, как Google Keyczar , которые могут помочь вам в реализации этого.