Где хранить ключ шифрования?

Question

В настоящее время я заканчиваю программу php, которая создает резервные копии нескольких календарей Google, которые требуют от меня хранения адресов электронной почты и их паролей. Я использую шифрование AES (я не использую хеш, потому что мне нужно двустороннее шифрование), и хотя все пароли шифруются одним и тем же ключом, у каждого пароля есть свой iv, который хранится в базе данных вместе с ним.

Я знаю, что нет 100% гарантированного способа обеспечения безопасности данных, если кто-то может получить полный доступ через мою систему, но я надеялся на некоторые предложения о методах хранения / местах хранения, которые затрудняют жизнь потенциальным хакерам. В настоящее время я рассмотрел возможность помещения ключа в файл, к которому имеет доступ только единственный администратор, или установки переменной среды.

Answer 1

Я рассмотрел вопрос о том, чтобы поместить ключ в файл только для одного администратора. имеет доступ к

если система будет взломана (или будет иметь физический доступ к вашему жесткому диску), злоумышленник сможет получить доступ к вашему секретному ключу.

Я думаю, что лучшее решение - хранить где-нибудь в fs зашифрованную версию вашего ключа, защищенную парольной фразой, которую нужно вводить вручную каждый раз, когда нужны ваши секретные ключи. Что-то вроде брелока для ключей от gpg.