Javascript端图像解密，这是否增加了安全性，还是有缺陷？

Question

我希望将护照副本安全地存储在一个数据库中，数据库本身就是一个普通的MySQL数据库，并且在一个有点受信任的web服务器上。拥有护照副本的用户只能上传其护照，而不能查看。我想采取的方法包括以下步骤。

配置：

1. 系统管理员通过https打开页面。
2. 管理员向服务器提交生成的公钥，并在本地存储私钥(在智能卡上或不永久附加到计算机首选的东西上)

护照储存：

1. 用户通过https打开页面。
2. 用户在浏览器中选择护照副本(图像)并将其提交给服务器。
3. 服务器使用公钥对图像进行加密，并将其存储在数据库列中。
4. 服务器覆盖内存中任何未加密的副本。

护照检索：

1. 管理员通过https打开页面。
2. 服务器加载加密列，并通过AJAX将加密图像发送给管理浏览器。
3. 管理员的浏览器从文件或智能卡加载私钥，并使用https://www.pidder.de/pidcrypt库解密图像
4. 未加密的图像数据被注入图像标记的src属性。

(我还没有找到在浏览器中加载私钥的好方法)

问题：

• 如果服务器被黑客入侵，攻击者下载了数据库，那么护照副本安全吗？
• 有没有更好的方法来确保副本的安全？

Answer 1

它确实增加了安全性，因为私钥不在面向服务器的web上。因为该服务器是面向互联网的24x7，所以它有很大的攻击潜力。

但是，它确实假定管理员PC是很安全的&这可能不是事实。使用可移动的安全存储，如智能卡，可能更好，正如您所指出的-假设商店是安全的;)

web服务器上的副本将与用于加密数据的方法一样安全。假设最佳实践，这应该是很好的，尽管如果攻击者获得了整个数据库，如果包含数千个条目--所有条目都是用相同的密钥加密的--安全性就会减弱。盐渍和多通道加密可能对此有所帮助。

然而，有一种更强大和可能更简单的数据安全方法。这取决于你是如何使用图像。您可以简单地不将图像存储在web服务器上！在典型的企业设置中，您将在网络中保留一个安全的数据服务器(而web服务器则位于DMZ中)。安全数据服务器将定期从web服务器获取数据并删除web服务器上的图像。与类似于概述的加密过程相结合，但私钥保存在内部网络中，可能在安全加速器卡中用于最终安全，这将消除管理员干预的需要，并将敏感数据排除在视线之外。