管理与特定源代码相关的加密密钥的规范方法是什么? (例如,与特定程序密切相关的SSH或RSA密钥对。)
由于显而易见的原因,我不愿意将其检入版本控制,但我不希望它们仅驻留在少数人的本地硬盘驱动器上。
答案 0 :(得分:2)
您可以将它们加密到版本控制中,只让少数人知道密码。这样做的好处是它们与代码一起存储,并且您可以轻松更新它们,但这些文件对攻击者无用(假设您使用强密码)。
答案 1 :(得分:1)
工业强度的答案是使用Hardware Security Module(HSM)。
稍微不那么花哨的答案是保证公司的印刷和/或电子副本安全。
答案 2 :(得分:1)
答案 3 :(得分:0)
当我负责管理我们的软件签名密钥时,我将GPG密钥保存在我们网络上的两台主机上,具有出色的主机安全性和良好的防火墙。我烧了两张CD:一份给我们的CTO,一份给我们的CEO。 (我只是告诉他,“不要丢失这张光盘。不要放弃它。”保持简单。:)
密钥的密码短语是不同的。我记得那个。如果我失踪了会为我填写的同事知道密码短语。我要求我们的首席执行官和首席技术官用密钥保持密码短语远离CD。
当然,这是我们最多每天使用一次的密钥,当我们发布安全更新时,通常不会持续数天或数周。如果您的需求与我们的需求不同,您可能需要做其他事情。