存储加密的 PEM 块是否安全？

Question

我有一些使用 Go 的经验，但现在我并不真正了解我正在做的安全性的复杂性，所以我需要问一下。

我正在创建一个 RSA 私钥，将其转换为 PEM，然后使用密码对其进行加密。

那么，将其存储在公共场所有多安全？

我不是在寻找诸如“没关系，只是随着时间的推移更改密码”之类的答案，我真的想知道 Golang 使用哪种密码机制来执行此操作，以及将加密的 PEM 留在其中是否安全，因为例如，一个公共区块链以及为什么我可以做或为什么我不能。

我将现在使用的代码留在这里：

func New(passphrase string)(*pem.Block, error){
    pk, err := createPrivateKey(2048)
    if err != nil {
        return false, err
    }
    pem := getPemFromPK(pk)
    block, err := EncryptPEMBlock(pem,passphrase)
    if err != nil {
        return false, err
    }

    return block,nil
}

func createPrivateKey(bits int) (*rsa.PrivateKey, error){
    pk, err := rsa.GenerateKey(rand.Reader, bits)
    if err != nil {
        return nil, err
    }
    return pk,nil
}

func getPemFromPK(pk *rsa.PrivateKey) (*pem.Block){
    block := &pem.Block{
        Type:  "RSA PRIVATE KEY",
        Bytes: x509.MarshalPKCS1PrivateKey(pk),
    }
    return block
}

func EncryptPEMBlock(block *pem.Block, passphrase string) (*pem.Block, error){
    block, err := x509.EncryptPEMBlock(rand.Reader, block.Type, block.Bytes, []byte(passphrase), x509.PEMCipherAES256)
    if err != nil {
        return nil, err
    }
    return block,nil
}

非常感谢。

编辑：

作为此处和其他论坛的答案，不建议公开发布任何类型的私钥，即使已加密。

这个话题已经回答了。

Answer 1

您在思考什么是私钥和什么是密码时犯了一个错误。密码用于加密和解密您的私钥 - 如果您存储的密钥文件需要使用密码，则该文件包含您的 加密 密钥。

如果您按照您的说法存储“私钥”，听起来您希望公开存储未加密的密钥。但是，即使您在公共在线存储库上发布了加密的私钥，也有很多方法可以破解密码。如果密码短语很短或在其他方面不安全，则攻击者现在拥有您的私钥。如果他们以您为目标并获得了对在应用程序（即 bash）中使用此密钥的您的计算机的访问权限，那么他们只需访问 bash 历史日志即可找到密码。

实际上，在有针对性的攻击中对某人进行键盘记录是微不足道的。

如果您在线存储未加密的私钥，很多事情都会出错。