エラー:セッションキーが変更されたため、キーの復号化に失敗しました| shinyapps.io | R

0
matrixloading 2020-03-06 23:30.

注:この(長い)質問は、私の以前の投稿のフォローアップです。

データの暗号化をローカルで実現し(ローカルRStudio)、暗号化されたデータをリモートで復号化します(shinyapps.ioでホストされているアプリケーション)

コードの最初の部分は、を使用してデータフレームを本質的に暗号化しますkey。コードの2番目の部分は、同じものkeyを使用してデータフレームを復号化し、それによってアプリケーション内の認証目的でこのデータフレームを使用する光沢のあるアプリケーションです。コードは私のマシンで問題なく動作します。

ただし、以下に示すように、shinyapps.io (クラウドベースのホスティングサービス)に公開するとエラーがスローされます。

1.データフレームを暗号化するためのコード。

library(sodium)
#> Warning: package 'sodium' was built under R version 3.5.3
library(encryptr)
#> Warning: package 'encryptr' was built under R version 3.5.3
library(cyphr)
#> Warning: package 'cyphr' was built under R version 3.5.3
#> 
#> Attaching package: 'cyphr'
#> The following objects are masked from 'package:encryptr':
#> 
#>     decrypt, decrypt_file, encrypt, encrypt_file

#setting local working directory 
#setwd("D://Work/03Mar20/")

df = data.frame(
  user = c("user1", "user2", "user3", "user4", "user5"),
  password = c("pass1", "pass2", "pass3", "pass4", "pass5"),
  permissions = c("admin","admin","admin","admin","admin"),
  name = c("user one", "user two", "user three", "user four", "user five"),
  stringsAsFactors = FALSE
)

#generating a key and encrypting the desired dataframe using cyphr and sodium packages
key <- cyphr::key_sodium(sodium::keygen())
cyphr::encrypt(saveRDS(df, "auth_base.rds"), key)

#saving the key as a .rds file and removing from R environment
saveRDS(key, "key.rds")
rm(key)


Created on 2020-03-06 by the reprex package (v0.3.0)

2.光沢のあるアプリケーションのコード(データフレームの復号化とユーザーの承認)

library(shiny)
library(shinydashboard)
library(shinydashboardPlus)
library(shinyauthr)
library(shinyjs)
library(sodium)
library(encryptr)
library(cyphr)
library(glue)
library(knitr)
library(rsconnect)
library(ggplot2)
library(DT)

#setting local working directory 
#setwd("D://Work Related/03Mar20")

key <- readRDS("key.rds")
df = cyphr::decrypt(readRDS("auth_base.rds"), key)

#Dataframe that holds usernames, passwords and other user data
credentials = data.frame(
    username = df$user, password = sapply(df$password, sodium::password_store),
    permission = df$permissions, name = df$name,
    stringsAsFactors = FALSE
)

# Main login screen
loginpage <- div(id = "loginpage", style = "width: 500px; max-width: 100%; margin: 0 auto; padding: 20px;",
                 wellPanel(
                     tags$h2("LOG IN", class = "text-center", style = "padding-top: 0;color:#333; font-weight:600;"), textInput("userName", placeholder="Username", label = tagList(icon("user"), "Username")), passwordInput("passwd", placeholder="Password", label = tagList(icon("unlock-alt"), "Password")), br(), div( style = "text-align: center;", actionButton("login", "SIGN IN", style = "color: white; background-color:#3c8dbc; padding: 10px 15px; width: 150px; cursor: pointer; font-size: 18px; font-weight: 600;"), shinyjs::hidden( div(id = "nomatch", tags$p("Incorrect username or password!",
                                        style = "color: red; font-weight: 600; 
                                            padding-top: 5px;font-size:16px;", 
                                        class = "text-center"))),
                         br()
                     ))
)

header <- dashboardHeader( title = "Template", uiOutput("logoutbtn"))
sidebar <- dashboardSidebar(collapsed = FALSE, uiOutput("sidebarpanel")) 
body <- dashboardBody(shinyjs::useShinyjs(), uiOutput("body"))

ui<-dashboardPage(header, sidebar, body, skin = "blue")

server <- function(input, output, session) {

    login = FALSE
    USER <- reactiveValues(login = login)

    observe({ 
        if (USER$login == FALSE) { if (!is.null(input$login)) {
                if (input$login > 0) { Username <- isolate(input$userName)
                    Password <- isolate(input$passwd) if(length(which(credentials$username==Username))==1) { 
                        pasmatch  <- credentials["password"][which(credentials$username==Username),] pasverify <- password_verify(pasmatch, Password) if(pasverify) { USER$login <- TRUE
                        } else {
                            shinyjs::toggle(id = "nomatch", anim = TRUE, time = 1, animType = "fade")
                            shinyjs::delay(3000, shinyjs::toggle(id = "nomatch", anim = TRUE, time = 1, animType = "fade"))
                        }
                    } else {
                        shinyjs::toggle(id = "nomatch", anim = TRUE, time = 1, animType = "fade")
                        shinyjs::delay(3000, shinyjs::toggle(id = "nomatch", anim = TRUE, time = 1, animType = "fade"))
                    }
                } 
            }
        }    
    })

    output$logoutbtn <- renderUI({ req(USER$login)
        tags$li(a(icon("fa fa-sign-out"), "Logout", href="javascript:window.location.reload(true)"), class = "dropdown", style = "background-color: #eee !important; border: 0; font-weight: bold; margin:5px; padding: 10px;") }) output$sidebarpanel <- renderUI({
        if (USER$login == TRUE ){ if (credentials[,"permission"][which(credentials$username==input$userName)]=="admin") { sidebarMenu( div(textOutput("permission"), style = "padding: 20px"), menuItem("Data", tabName = "dashboard", icon = icon("table")) ) } } }) output$body <- renderUI({
        if (USER$login == TRUE ) { if (credentials[,"permission"][which(credentials$username==input$userName)]=="admin") { tabItems( tabItem( tabName ="dashboard", class = "active", fluidRow( box(width = 12, dataTableOutput('results')) )) ) } } else { loginpage } }) output$permission <- renderText({
        if (USER$login == TRUE ) { paste("Permission: ", credentials[,"permission"][which(credentials$username==input$userName)]) } }) output$results <-  DT::renderDataTable({
        datatable(mtcars, options = list(autoWidth = TRUE,
                                         searching = FALSE))
    })

}

shinyApp(ui, server)

key復号化のためにクラウドに公開すると、暗号化時ののセッションIDが一致しないというエラーからわかりました。セキュリティドメインの新人として、クラウドで復号化を実現するための回避策はありますか?

どんな提案でも大歓迎です。

2 answers

3
thothal 2020-03-12 03:28.

問題の理由

問題は、設計によりとしてcyphr::key_sodiumのみ現在のセッションのために、よく、有効なキーを作成します。つまり、異なるシステムはもちろん、異なるセッション間で共有することはできません。

したがって、問題はshinyそれ自体にまったく関係していませんが、cyphr異なるセッション間でキーを使用しようとしているという事実に関係しています。

ビネットから:

key_openssl、keypair_openssl、key_sodium、またはkeypair_sodiumを使用する場合、データを復号化できるものを生成します。これらの関数によって返されるオブジェクトはデータを暗号化および復号化できるため、これらのオブジェクト自体がディスクに保存された場合、データが危険にさらされることを懸念するのは合理的です。

これを回避するために、cyphrは秘密鍵または対称鍵をこれらのオブジェクトに直接格納しませんが、代わりに、パッケージがロードされるたびに再生成されるcyphr固有のセッション鍵で機密鍵を暗号化します。これは、オブジェクトが実際には1つのセッション内でのみ有用であり、save.imageで保存された場合(おそらくセッションの終了時に自動的に)、キーを使用してデータを復号化できないことを意味します。

問題の再現

library(cyphr)

file <- "encr.rds"
df <- data.frame(a = 1) 

## cyphr workflow won't work across sessions / systems

key <- key_sodium(sodium::keygen())

encrypt(saveRDS(df, file), key)

## works within the same session
decrypt(readRDS(file), key)

## simulate session change (restart or other system)
session_key_refresh()

## won't work
decrypt(readRDS(file), key)
unlink(file)

解決


注意。を保存して保存する必要がないため、コードを更新しましたnonce


したがって、作業を行うには別のライブラリを使用する必要があります。たとえば、ライブラリsodium自体を使用できます。

library(sodium)
key_file <- "key.rds"
file <- "encr.rds"
key <- keygen()

df <- data.frame(a = 1)
msg <- serialize(df, NULL)

cipher <- data_encrypt(msg, key)
saveRDS(cipher, file)

## store key
saveRDS(key, key_file)

今すぐ共有できますkey.rds(または光沢のあるサーバーに配置できます)。これをシミュレートするには、Rを再起動して実行します。

library(sodium)
key_file <- "key.rds"
file <- "encr.rds"
key <- readRDS(key_file)

# Decrypt with same stored key and nonce
decipher <- readRDS(file)
unserialize(data_decrypt(decipher, key))

#   a
# 1 1

unlink(key_file)
unlink(file)

セキュリティ上の懸念

対称暗号化(例のように、暗号化解除/暗号化の1つのキー)を使用し、そのキーをサーバーの一番上に保存することは、良い考えとは思えません。あなたのキーファイルを手にした人は誰でもあなたの秘密を解読することができます。

私自身はセキュリティの専門家ではありませんが、あなたのデザインを再考します。

0
Thiago Pires 2020-07-05 18:44.

環境変数「SECRET」をshinyapps.ioに保存する方法はわかりませんが、他のサービスでは可能です。

require(openssl)

# encrypt data
password <- charToRaw(Sys.getenv("SECRET"))
key <- sha256(password)

dataset <- data.frame(
  user = c("user1", "user2", "user3", "user4", "user5"),
  password = c("pass1", "pass2", "pass3", "pass4", "pass5"),
  permissions = c("admin","admin","admin","admin","admin"),
  name = c("user one", "user two", "user three", "user four", "user five"),
  stringsAsFactors = FALSE
)

saveRDS(aes_cbc_encrypt(serialize(dataset, NULL), key = key), "df.RDS")

# decrypt data
unserialize(aes_cbc_decrypt(readRDS("df.RDS"), key = key))

Related questions

MORE COOL STUFF

Reba McEntire は、彼女が息子の Shelby Blackstock と共有する「楽しい」クリスマスの伝統を明らかにしました:「私たちはたくさん笑います」

Reba McEntire は、彼女が息子の Shelby Blackstock と共有する「楽しい」クリスマスの伝統を明らかにしました:「私たちはたくさん笑います」

Reba McEntire が息子の Shelby Blackstock と共有しているクリスマスの伝統について学びましょう。

メーガン・マークルは、自然な髪のスタイリングをめぐってマライア・キャリーと結ばれました

メーガン・マークルは、自然な髪のスタイリングをめぐってマライア・キャリーと結ばれました

メーガン・マークルとマライア・キャリーが自然な髪の上でどのように結合したかについて、メーガンの「アーキタイプ」ポッドキャストのエピソードで学びましょう.

ハリー王子は家族との関係を修復できるという「希望を持っている」:「彼は父親と兄弟を愛している」

ハリー王子は家族との関係を修復できるという「希望を持っている」:「彼は父親と兄弟を愛している」

ハリー王子が家族、特にチャールズ王とウィリアム王子との関係について望んでいると主張したある情報源を発見してください。

ワイノナ・ジャッドは、パニックに陥った休暇の瞬間に、彼女がジャッド家の家長であることを認識しました

ワイノナ・ジャッドは、パニックに陥った休暇の瞬間に、彼女がジャッド家の家長であることを認識しました

ワイノナ・ジャッドが、母親のナオミ・ジャッドが亡くなってから初めての感謝祭のお祝いを主催しているときに、彼女が今では家長であることをどのように認識したかを学びましょう.

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セント ヘレナ島のジェイコブズ ラダーは 699 段の真っ直ぐ上る階段で、頂上に到達すると証明書が発行されるほどの難易度です。

The Secrets of Airline Travel Quiz

The Secrets of Airline Travel Quiz

Air travel is far more than getting from point A to point B safely. How much do you know about the million little details that go into flying on airplanes?

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

モンサントは世界で最も強力な遺伝子編集ツールにアクセスできるようになりました

モンサントは世界で最も強力な遺伝子編集ツールにアクセスできるようになりました

画像:AP通信の農業会社であるモンサントは、MITのブロード研究所とハーバード大学からCRISPR / Cas9遺伝子編集システムを使用するための非独占的なグローバルライセンス契約を取得しました。同社はこれを使用して新しい種子や植物を設計および栽培しますが​​、モンサントがこの革新的な新技術を悪用するのを防ぐために、その使用には重要な制限があります。

グーグルのAIが囲碁世界チャンピオンの李世ドルとの最初の試合に勝った

グーグルのAIが囲碁世界チャンピオンの李世ドルとの最初の試合に勝った

画像提供:Linh Nguyen一連の試合の最初の試合で、Google Deepmindの強力な人工知能AlphaGoが囲碁の世界チャンピオンであるリーセドルを打ち負かしました。セドルとDeepMindの試合(実際には5つのうちの最初の試合)がYouTubeで生放送されました。 3月9日。

アマゾンのタイルスポーツとタイルプロブラックフライデーのお得な情報には無料のエコードットが付属しています

アマゾンのタイルスポーツとタイルプロブラックフライデーのお得な情報には無料のエコードットが付属しています

タイルトラッカーは、鍵を見つけることができないためにいつも遅れている友人に素晴らしい贈り物をします(真剣に、彼らはとても時間厳守です、誰もがいつもそれを言っています、彼らは彼らの鍵を見つけることができませんでした!)、そしてAmazonのタイルブラックフライデーのお得な情報彼ら(またはあなた自身)のためにいくつかを購入するのは簡単です。ここでは3つの選択肢があります:私のお金のために、それはプロを取得する価値があります。

それにふたを置きます。実際、すべてに蓋をしてください。14ドルで12個のシリコンストレッチキッチン蓋を手に入れよう. [エクスクルーシブ]

それにふたを置きます。実際、すべてに蓋をしてください。14ドルで12個のシリコンストレッチキッチン蓋を手に入れよう. [エクスクルーシブ]

Tomorrow's Kitchen シリコンストレッチ蓋 12個パック | $14 | アマゾン | プロモーション コード 20OFFKINJALids は基本的にキッチンの靴下です。常に迷子になり、二度と閉じられない孤立したコンテナーが残ります。しかし、蓋が伸びて、残った容器、鍋、フライパン、さらには大きなスライスされた果物のすべてに適合するとしたらどうでしょうか? その非常に特殊な蓋を失うことを二度と心配する必要はありません。

米国のフィギュア スケートは、チーム イベントでの最終決定の欠如に「苛立ち」、公正な裁定を求める

米国のフィギュア スケートは、チーム イベントでの最終決定の欠如に「苛立ち」、公正な裁定を求める

ロシアのフィギュアスケーター、カミラ・バリエバが関与したドーピング事件が整理されているため、チームは2022年北京冬季オリンピックで獲得したメダルを待っています。

Amazonの買い物客は、わずか10ドルのシルクの枕カバーのおかげで、「甘やかされた赤ちゃんのように」眠れると言っています

Amazonの買い物客は、わずか10ドルのシルクの枕カバーのおかげで、「甘やかされた赤ちゃんのように」眠れると言っています

何千人ものAmazonの買い物客がMulberry Silk Pillowcaseを推奨しており、現在販売中. シルクの枕カバーにはいくつかの色があり、髪を柔らかく肌を透明に保ちます。Amazonで最大46%オフになっている間にシルクの枕カバーを購入してください

パデュー大学の教授が覚醒剤を扱った疑いで逮捕され、女性に性的好意を抱かせる

パデュー大学の教授が覚醒剤を扱った疑いで逮捕され、女性に性的好意を抱かせる

ラファイエット警察署は、「不審な男性が女性に近づいた」という複数の苦情を受けて、12 月にパデュー大学の教授の捜査を開始しました。

コンセプト ドリフト: AI にとって世界の変化は速すぎる

コンセプト ドリフト: AI にとって世界の変化は速すぎる

私たちの周りの世界と同じように、言語は常に変化しています。以前の時代では、言語の変化は数年または数十年にわたって発生していましたが、現在では数日または数時間で変化する可能性があります。

SF攻撃で91歳のアジア人女性が殴られ、コンクリートに叩きつけられた

犯罪擁護派のオークランドが暴力犯罪者のロミオ・ロレンゾ・パーハムを釈放

SF攻撃で91歳のアジア人女性が殴られ、コンクリートに叩きつけられた

認知症を患っている 91 歳のアジア人女性が最近、47 番街のアウター サンセット地区でロメオ ロレンゾ パーハムに襲われました。伝えられるところによると、被害者はサンフランシスコの通りを歩いていたところ、容疑者に近づき、攻撃を受け、暴行を受けました。

ℝ

“And a river went out of Eden to water the garden, and from thence it was parted and became into four heads” Genesis 2:10. ? The heart is located in the middle of the thoracic cavity, pointing eastward.

メリック・ガーランドはアメリカに失敗しましたか?

バイデン大統領の任期の半分以上です。メリック・ガーランドは何を待っていますか?

メリック・ガーランドはアメリカに失敗しましたか?

人々にチャンスを与えることは、人生で少し遅すぎると私は信じています。寛大に。

Language