Я разрабатываю приложение .NET, которое загружает файлы в хранилище Azure. Я использую шифрование на стороне клиента, как описано в руководстве по адресу https://azure.microsoft.com/en-us/documentation/articles/storage-encrypt-decrypt-blobs-key-vault/
Приложение работает, т.е. я могу успешно загрузить зашифрованный большой двоичный объект в выбранную учетную запись хранения и контейнер.
Однако у меня есть некоторые опасения по поводу безопасности ключа RSA. Если клиентское приложение получает ключ от Key Vault для использования в BlobEncryptionPolicy, этот ключ может быть скомпрометирован? Единственное, что действительно нужно приложению, - это открытый ключ пары RSA, закрытый ключ должен оставаться на сервере (расшифровка выполняется только доверенным веб-приложением).
Другое беспокойство, которое у меня вызывает, заключается в том, что получить информацию об интеграции AAD из app.config очень просто. Как можно обойти это?
(примечание: рабочие станции, на которых будет работать приложение загрузки, не обязательно являются доверенными)