Re: [ml] Criptare dati sensibili

Leonardo Valenti wrote:

> avrei la necessit? di criptare dati sensibili su un database ma sono nuovo
> nel campo e vorrei avere maggiori informazioni.

La prima domanda e' "perche'" ? Da cosa vuoi proteggere codeste
informazioni ?

> 1) quale algoritmo utilizzare? ho sentito parlare dell'AES a 128bit; ?
> abbastanza sicuro?

Qui vale oro cio' che ti e' stato consigliato di leggere di Tom Ptacek.

Aggiungo che, in genere, "quale algoritmo" non e' una scelta importante,
purche' sia mainstream e robusto.

> 2) come gestire la chiave? come generarla? dove salvarla? dovr? essere
> unica?

Vedi sopra.

> 3) quali sono gli accorgimenti da tenere e le possibili tipologie di attacco
> che si possono subire (es. SQL injection, etc.)?

Se ti aspetti attacchi a livello applicativo, con ogni probabilita'
cifrare i dati a livello di DB non sara' d'aiuto. Se ti aspetti attacchi
a livello piu' basso puo' essere utile. Tutto dipende dal tuo threat model.

-- 
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-4017
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    http://home.dei.polimi.it/zanero/