[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2003 ml@sikurezza.org Soggetto: Re: una chiave di troppo Mittente: Fabio Pietrosanti (naif) Data: 1 Jul 2003 12:00:17 -0000
On Tue, Jun 17, 2003 at 01:39:48PM +0200, Igor Falcomata' wrote: > From: "Silvano Esposito" <s.esposito<at>speedlab.it> > Date: Tue, 17 Jun 2003 10:03:44 +0200 > > ciao a tutti, > sto pensando di adottare un sistema di criptazione per alcune informazioni > che sono depositate sul db. L'obiettivo e' quello di garantire che la > segretezza di tali info non cada nell'ipotesi in cui sia caduto l'account di > amministrazione del db stesso. Premesso che non vorrei passare per un LDAP e > trascurando, in questa > sede, la sicurezza dell'algoritmo di cifratura, la domanda e': dove registro > la chiave di criptazione? Imho l'approccio migliore che puoi usare e' di fregartene che le informazioni sono storate in un DB e di usare lo stesso approccio che avresti nel proteggere delle informazioni sul tuo filesystem, ovvero usando una applicazione di terze parti o scritta da te che inserisca i dati nel DB gia' cifrati, e come tali li prelevi decifrandoli poi. La parte di gestione della chiave, algoritmo di cifratura, software di cifratura te la gestisci esternamente dall'applicazione che deve attingere a quei dati e fai fare al database il suo lavoro di storage di informazioni e nulla piu'. Cosi' facendo puoi integrare nella tua applicazione la gestione della cifratura/decifratura usando una delle migliaia di librerie crittografiche esistenti nell'opensource e sopratutto sei indipendente dall'ipotesi in cui "sia caduto l'account di amministrazione del db stesso" . Esempio di storage di numeri di Carte di Credito cifrati nel db: http://www.phpbuilder.com/board/printthread.php?threadid=10234201 Esistono comunque soluzioni software fatte apposta per cifrare il contenuto di alcuni database come: - per oracle http://www.relationalwizards.com/html/ora_obfuscation.html - per IBM db2 http://www-1.ibm.com/partnerworld/pwhome.nsf/weblook/sel_info_secure_data.html - per MS SQL Server http://www.netlib.com/sql-server-encryption.htm Saluti -- Fabio Pietrosanti ( naif ) E-mail: fabio@xxxxxxxxxxxxxx - naif@xxxxxxxxxxxxx PGP Key available on my homepage: http://fabio.pietrosanti.it/ -- And you will learn to be paranoid and cynical... -- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005