代码中的敏感信息加密方案

曾有个同事不小心把项目代码给传到了Github上，导致代码里边的一个明文邮箱账号密码被利用，为此公司及个人都付出了沉重的代价。那么代码中的敏感信息该如何处理呢？本文将简单介绍一下我们的实践方法。

实现目标

1. 代码中的敏感信息加密，例如邮箱账号密码、连接数据库的账号密码、第三方校验的key
2. 对于生产使用的原始密码等信息应尽量少的人接触，例如数据库的密码应只有DBA知道

信息加密

信息加密常见的有两类：

第一类无需解密：例如系统登录密码加密，通过加密算法对用户输入密码进行加密后存放在数据库中，用户再次登录时依然拿相同的加密算法对用户输入密码进行加密，拿加密后的结果和数据库中存放的结果做对比，整个过程中都不需要知道用户输入的原始密码是什么，MD5是处理此类加密最常用的加密算法

第二类需要解密：例如我们写在项目代码中连接数据库的账号密码，项目代码中以密文方式存储，当需要连接数据库的时候，要对密文进行解密，拿到原始未加密的账号密码去连接数据库，与MD5单向加密不同，这类加密需要能对加密后的密文进行解密，此类加密方法目前最常用的加密算法为RSA

我们这里考虑的是给配置文件里的敏感信息加密，也就是上边说的第二类情况，采用的也是RSA加密算法，关于RSA加密算法的详细内容自行Google下吧，这里不赘述，需要知道以下两点就可以了：

1. 加密算法需要生成一对RSA秘钥，分别为公钥和私钥
2. 拿公钥对密码进行加密得到加密后的字符串配置在项目代码中，需要使用原始密码的时候拿私钥对加密后的字符串进行解密得到原始密码

这里注意一个问题，拿到私钥就可以对加密字符串进行解密，那么这个秘钥肯定就不能放在项目代码中了，不然再遇到代码给传Github的情况就可以拿秘钥进行解密，失去了加密的意义了。这里我们的策略是秘钥统一由运维管理，直接放在生产服务器中，项目代理里配置路径可读取秘钥即可，避免秘钥因代码泄露而泄露。

RSA加解密python脚本，可以直接使用此脚本生成RSA秘钥对，加密密码或者解密，当然也可以使用OpenSSL工具完成此操作

import binascii
from Cryptodome.PublicKey import RSA
from Cryptodome.Cipher import PKCS1_v1_5


class RsaCrypto():
    '''RSA 加解密'''

    def create_rsa_key(self):
        '''生成RSA秘钥对'''
        try:
            key = RSA.generate(2048)
            encrypted_key = key.exportKey(pkcs=8)

            public_key = key.publickey().exportKey().decode('utf-8')
            private_key = encrypted_key.decode('utf-8')

            return {'state': 1, 'message': {'public_key': public_key, 'private_key': private_key}}
        except Exception as err:
            return {'state': 0, 'message': str(err)}

    def encrypt(self, public_key, plaintext):
        '''加密方法'''
        try:
            recipient_key = RSA.import_key(public_key)
            cipher_rsa = PKCS1_v1_5.new(recipient_key)

            en_data = cipher_rsa.encrypt(plaintext.encode('utf-8'))
            hex_data = binascii.hexlify(en_data).decode('utf-8')

            return {'state': 1, 'message': hex_data}
        except Exception as err:
            return {'state': 0, 'message': str(err)}

    def decrypt(self, private_key, hex_data):
        '''解密方法'''
        try:
            private_key = RSA.import_key(private_key)
            cipher_rsa = PKCS1_v1_5.new(private_key)

            en_data = binascii.unhexlify(hex_data.encode('utf-8'))
            data = cipher_rsa.decrypt(en_data, None).decode('utf-8')

            return {'state': 1, 'message': data}
        except Exception as err:
            return {'state': 0, 'message': str(err)}


if __name__ == '__main__':
    print(RsaCrypto().create_rsa_key())

流程管控

以数据库的密码管理为样例来介绍下我们的流程

1. 运维通过加密系统生成RSA秘钥对，并将秘钥对放在生产服务器上，通知开发秘钥在服务器上的存放路径，由开发写在项目代码配置文件中
2. DBA创建数据库账号密码，通过上一步运维生成的秘钥对密码进行加密，并将加密后的字符串给到开发写在项目代码配置文件中

---

文章未完，全部内容请关注公众号【运维咖啡吧】或个人网站https://ops-coffee.cn查看，运维咖啡吧专注于原创精品内容分享，感谢您的支持