保护p12文件

Question

如何安全地存储p12文件？据我所知，p12文件中的证书是用RC40位加密的，密钥是用des3加密的，但是暴力破解是一种技术，它可以泄露证书的密码，然后同样可以用来获取密钥，这使得p12文件有点不安全。我希望将我的p12文件安全地存储在文件系统中。我可以加密这个文件并存储it.If吗是的，那么这个文件仍然可以使用吗？

Answer 1

根据定义，PKCS#12没有定义使用哪些算法是合法的。PKCS#12只是证书和私钥容器的一种结构。该容器可以被加密和签名。点击此处查看更多信息：https://www.rfc-editor.org/rfc/rfc7292

从理论上讲，任何加密都可能是暴力强制的。问题是成功做到这一点的成本和努力是什么。通过选择受信任的算法(例如，请参阅NIST批准的算法列表)，您可以很好地入睡，因为您知道加密的PKCS#12容器中的私钥将保持安全，不会受到暴力攻击。

如果您的PKCS#12文件使用3DES加密，它仍然可以被认为是安全的。点击此处查看更多信息：https://security.stackexchange.com/questions/146710/is-the-3des-algorithm-secure

但是，如果您想限制对PKCS#12文件及其内部私钥的访问，则可以选择限制文件系统中该文件的权限。这基本上意味着只有运行该进程的用户才能访问该文件。更昂贵的选择是使用硬件令牌和HSM。例如，一些供应商是SafeNet和泰利斯，您可以通过密码引擎和PKCS#11等接口使用它们。PKCS#12文件也可以通过密码短语保护，如果您可以容忍人类交互，则通常建议使用密码短语。在服务器环境或其他不可能进行人工交互的用例中，受密码短语保护的PKCS#12可能比较棘手，因为您需要找到一种方法来保护密码短语本身。