对多个没有私钥的收件人进行加密？

Question

我一直在调查PGP，但不希望我的用户不得不担心安全地存储自己的私钥。因此，我觉得没有私钥的对称加密就足够了。

建议的做法是什么？是不是要用他们的密码？如果我说用户被绑定到一个角色，并且读取权限是基于这个角色，那么对每个角色只使用某种共享的对称密钥会更简单吗？

用例:它是分类帐上的事务，其中分类账是公开的，任何人都可以看到它，但所有事务信息目前都以明文形式存储。我希望对与该事务类型相关的用户角色对事务信息进行加密。每个人都可以看到事务的实际发生，但目标只是更好的安全性，而不是让每个人清楚地看到每个事务的全部内容。

有蓝队和红队。当蓝色用户使用系统时，他们能够看到双方所有事务的列表。这让他们看到了红队确实在交易，但由于他们不在红队，也不懂红色的语言，所以他们不能准确地读懂所处理的东西，只知道发生了什么。

• 可以使用云密钥管理服务存储密钥
• 不能期望用户使用冷存储/纸张钱包/等等来管理自己的密钥。
• 在引擎盖下静悄悄地工作，用户只需使用电子邮件和密码登录，就应该能够查看与其角色相关的解密信息。
• 某些事务可能对多个角色进行加密。

Answer 1

我一直在调查PGP，但不希望我的用户不得不担心安全地存储自己的私钥。因此，我觉得没有私钥的对称加密就足够了。

您的这种感觉似乎没有意义，因为用户仍然必须安全地存储秘密对称加密密钥(或生成对称密钥的密码)。你似乎什么都没得到。

建议的做法是什么？是不是要用他们的密码？

您可以使用密码保护对称密钥(或使用密码生成对称密钥)。还可以使用密码保护非对称私钥。所以，再说一遍，你不确定你在这里得到了什么？

对于一个实用的选项，您可以使用gpg，它提供了基于密码的对称加密/解密选项。在这种情况下，对称密钥由用户在命令行中输入的密码生成。但是，您也可以使用带有密码保护的非对称私钥的gpg，这是用户在命令行中输入的密码。这就是为什么移动到对称密钥似乎没有什么收获，如果有什么。