セッション クッキーの内容を暗号化するためにmod_auth_form、mod_sessionおよびが構成された Apache 2.4 サーバーがあります。mod_session_crypto
私の記憶が間違っていなければ、デフォルトの暗号化では OpenSSL と aes256 暗号が使用されているはずです。これは、秘密鍵と公開鍵を使用する非対称暗号です。このSessionCryptoPassphraseディレクティブがよくわかりません。このパスフレーズは具体的に何のために使用されるのでしょうか? ドキュメントには次のように記載されています。
SessionCryptoPassphraseディレクティブは、対称的なセッションを書き込む前にセッションの内容を暗号化するか、セッションを読み取った後にセッションの内容を復号化します。
最後に、私の質問は、この方法で暗号化されたクッキーはどの程度安全なのかということです。ユーザー名とパスワードは暗号化されていますが、クッキーには依然として含まれています。ハッカーはこれを解読して内部のデータにアクセスできますか? このパスフレーズを知っているハッカーは、クッキー内の情報を入手できますか?
答え1
https://github.com/winlibs/apache/blob/master/2.4.x/modules/session/mod_session_crypto.c#L156用途https://apr.apache.org/docs/apr-util/1.6/group___a_p_r___util___crypto.html#ga98dea2011c0e173ab1f059c5a9ea8b14指定されたパスフレーズからキーを生成します。IV がどのように設定/決定されるかは不明ですが、少なくとも CBC モードを使用しているため、十分に安全であると思われます。
残念なことに、私は Cookie を別のバックエンド アプリケーションと共有したいのですが、mod_session_dbd同じパスフレーズを使用しても、KDF を正確に複製するよりも使用するのが簡単なようです。