有趣的奇葩需求：如何设计一个开发人员自己都无法解读的信息存储方案？

开发人员不知道密码怎么解密，后门？

开发完了，灭口。

同态加密？

听说性能不怎么好诶

拿开发祭奠上天再投入使用

这简单啊，数据库里只记个引用，比如这个工资存放在档案室第三个柜子第二排第四个文件夹第六页第四十二行，请自行查阅~

开玩笑的。正经方法也不少，比如使用非对称加密，私钥存在硬件里，俗称加密狗。开发完了把狗交出去，开发人员也看不到了。

工资都写 10000 其它都根据工资算不就行了。开发完 hr 自己录入重新修改工资。
哪怕 2000 人这也没多大工作量，反正 hr 比较闲。

自己想的 low 办法，hr 那里有份密码，数据库不存，工资 base64 一下，密码 base64 一下，按位加后再 base64 一下，放进数据库，hr 想看的时候再反向操作一遍。

正经如 5L 所说，非对称加密一下，安心，估计库也不少，让 hr 存好私钥好了

开发人员设计加密规则加密，程序上线后，正式的数据库不对开发人员开放，如需线上数据库数据，可以联系运维或者数据库管理人员导出，导出后清空指定表的数据。这样，开发看不到正式的数据，运维和数据库管理人员虽然能看到数据，但是不知道加解密规则，所以也是无法看到数据的。其他的授权什么的，正常做就好了。

5 楼的办法是正道, 另加密算法的正道就是知道算法你也没有办法的才叫加密, 就算是对称加密, 你没有密钥, 即使代码是你写的你也没法知道存的是什么, 除非你另外加了后门在加密前截取了内容.

开发又不需要真实数据，有什么奇葩的。

这个很难么？难道银行数据库管理人员知道我的银行密码？

不在乎一些操作会出现性能损失可以实现。

每个有权限操作的用户、用户组都有自己的独立非对称密钥(公钥+密钥)，密钥用用户自己的密码加密后保存到服务器。

数据库每条的需要保密的字段都用独立对称密钥加密后保存。然后这些独立密钥在用每个有权限访问用户、用户组的公钥加密后保存到服务器。

这样甚至可以做到一些用户只有只读权限，做法就是增加一个签名机制，保密字段必须携带有权限用户的公钥签名，否则不被认可。


新增的步骤是：
1.根据需要生成多个 对称加密私钥 X，然后用有权限人、组的公钥加密这些私钥并保存到服务器
2.用多个 对称加密私钥 X 分别加密每条加密数据并保存到数据库

这样读取的步骤是：
1.用户密码解密用户的私钥
2.用户的私钥解密 (加密保密字段的私钥)
3.用 (加密保密字段的私钥) 解密保密私钥

写的步骤是：
1.用户密码解密用户私钥
2.用户私钥解密 (加密保密字段的私钥)
3.用 (加密保密字段的私钥)解密保密密钥


缺陷是一些统计功能会比较悲剧，需要全部从数据库读取出来在程序内做统计。不过工资等数据量不是很大，一般还可以接受。

这样读取的步骤是：
1.用户密码解密用户的私钥
2.用户的私钥解密 (加密保密字段的私钥)
3.用 (加密保密字段的私钥) 解密保密字段

写的步骤也当作新增吧，重新生成新的密钥安全性更好。

用 AES 不好么...这种情况下 RSA 纯粹浪费资源。
用户密码解密密钥，所有加解密都在客户端进行。
不过要是人事忘记密码了，数据就别想拿回来了....

@olOwOlo 你差这么点性能么？ RSA 可以进硬件 TPM，AES 不行，RSA 可以有只写权限，AES 不可能。
忘记密码这不是理由，可以另存一份，密钥放保险箱，反正有公钥就能加密了

真要防开发，就要实现端到端，除了客户端，谁也看不到数据
只要做好客户端代码审计就可以了

上线后就不用管了吗？哪天上线了，说报表数据出问题了，那怎么排查？

asymmetric encryption 么

数据用 ca cert 加密。

有人需要 access， 传 自己的 request cert 给 ca

ca 生成 access cert。

那个人就可以用自己的 private key + access cert 来 access 了

但是有 ca 也总是可以看的。


如果 ca 密码忘了，就呵呵了。

HR 那里有个 one-time pad。所有薪资都是按照比例有增减。

你看到的都是一个线性空间映射。

然后每个月一换。

所有的加密都是这样的，这个怎么就算是奇葩需求了呢？