Dwolla 允许应用程序请求和存储用户的 PIN 作为预授权形式,但要求对其进行加密。从服务条款:
必须使用 FIPS 140-2 标准(至少)在传输和静态(包括任何和所有备份介质)中加密 PIN
通常,我会使用 Bcrypt 加密(实际上是进行安全哈希。Neil Slater,感谢您的更正)(使用 bcrypt-ruby gem),例如密码。但是如果我用 Bcrypt 加密,那么我必须传输散列,当然这与 Dwolla 的期望不匹配,并且 PIN 将被拒绝。
您如何对 PIN 进行加密和解密以实现安全传输?
更新:
Andrew 链接到下面的问题的答案之一是引用OpenSSL:Cipher,并且使用它我可以使用以下代码加密 PIN。但剩下的问题是:
- 我应该如何存储密钥、iv(初始化向量)和密码?保存为环境变量是否安全,还是将数据库表放入安全哈希中会更好?
- 下面的代码作为一种加密 PIN 的方式是否有意义?
- 由于我没有来自 Dwolla 的公钥,那么传输它的最佳方式是什么?
pin = "1111" # this is what needs to be encrypted
#encryption:
cipher = OpenSSL::Cipher.new('AES-128-CBC') #=> #<OpenSSL::Cipher:0x00000100ef09d8>
cipher.encrypt
key = cipher.random_key #=> odd characters...
iv = cipher.random_iv #=> odd characters...
encrypted = cipher.update(pin) + cipher.final #=> odd characters...
#dcryption:
decipher = OpenSSL::Cipher::AES.new(128, :CBC)
decipher.decrypt
decipher.key = key
decipher.iv = iv
plain = decipher.update(encrypted) + decipher.final
puts plain == pin #=> true