Leonardo Valenti wrote: > avrei la necessit? di criptare dati sensibili su un database ma sono nuovo > nel campo e vorrei avere maggiori informazioni.
La prima domanda e' "perche'" ? Da cosa vuoi proteggere codeste informazioni ? > 1) quale algoritmo utilizzare? ho sentito parlare dell'AES a 128bit; ? > abbastanza sicuro? Qui vale oro cio' che ti e' stato consigliato di leggere di Tom Ptacek. Aggiungo che, in genere, "quale algoritmo" non e' una scelta importante, purche' sia mainstream e robusto. > 2) come gestire la chiave? come generarla? dove salvarla? dovr? essere > unica? Vedi sopra. > 3) quali sono gli accorgimenti da tenere e le possibili tipologie di attacco > che si possono subire (es. SQL injection, etc.)? Se ti aspetti attacchi a livello applicativo, con ogni probabilita' cifrare i dati a livello di DB non sara' d'aiuto. Se ti aspetti attacchi a livello piu' basso puo' essere utile. Tutto dipende dal tuo threat model. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
