In data giovedì 25 giugno 2009 23:54:01, Leonardo Valenti ha scritto: > avrei la necessit? di criptare dati sensibili su un database ma sono nuovo > nel campo e vorrei avere maggiori informazioni. [---] > 1) quale algoritmo utilizzare? ho sentito parlare dell'AES a 128bit; ? > abbastanza sicuro? > 2) come gestire la chiave? come generarla? dove salvarla? dovr? essere > unica?
Questo dipende in buona sostanza dalle condizioni a contorno. In che modo leggerai i dati in un secondo momento, che volumi ti aspetti di vedere, che tipo di minacce hai modellizzato sull'infrastruttura? > 3) quali sono gli accorgimenti da tenere e le possibili tipologie di > attacco che si possono subire (es. SQL injection, etc.)? I "possibili tipi di attacco qui" sono tutto il parco attacchi per le webapp ( owasp.org e buona lettura ;-) ) nonchè quelli all'infrastruttura: se il sistema che ospita l'applicazione viene compromesso e si recupera la chiave si ha buon gioco a decifrare i dati. Ah, mettiamoci anche gli attacchi di livello network, se per caso non stai usando a modo SSL o chi per lui per trasmettere i dati in chiaro. Claudio
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
