问题描述
我正在尝试在一个简单的消息传递应用程序上实现 OpenPGP 端到端加密,该应用程序将可以在网络和移动设备上访问。我一直在决定应该在哪里生成和存储我的私钥。有以下两种方法(我不想采用方法 2,但这看起来是唯一可行的选择):-
密钥存储方法 1:-
-
当用户第一次登录聊天客户端时,客户端(网络/应用)会生成一组公钥和私钥。
-
用户的公钥将被发送到后端服务器。用户的私钥将被加密并存储在客户端的本地存储中。
这种方法的问题:-
-
如果用户一次都没有登录客户端,那么发送者将如何加密消息? (因为收件人的公钥目前不可用)
-
如果用户登录到另一个客户端(另一个浏览器或不同的应用程序),他将如何访问私钥? (因为需要解密用户收件箱中的消息)
密钥存储方法 2:-
-
在后端服务器上创建用户后,在后端使用 PGP 为用户创建公钥和私钥。公钥可以明文存储,但用户的私钥应该加密存储。我们可以在此处使用带有客户端特定密码的对称加密。
-
当用户登录聊天客户端(网络/应用程序)时,登录时将从后端收到加密的私钥。为了解密任何消息,然后可以使用他们的密码解密他们的私钥,然后使用私钥解密收到的消息。
这种方法的问题:-
- 这并不是真正的端到端加密,因为知道用户密码的人都可以访问私钥。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)