מימוש אבטחת מידע

[gilad_no]

מימוש אבטחת מידע

שלום לכולכם. יש לי שתי שאלות: האם מישהו מכיר מסד נתונים המכיל אפשרות לקבוע את אלגוריתם ההצפנה ? היישום שלי מתעסק עם מידע רגיש של משתמשים ואני צריך אפשרות לקבוע את ההצפנה בעצמי ולא להסתמך על ההצפנה של המפתח המקורי. הכוונה היא מסד נתונים בפן התכנותי (VC++) ולא למשתמש קצה (ACCESS) אני צריך HOOKS שייתחבר לשלב שבו נקרא מידע מהקובץ ולפני שהוא מעובד אני אוכל לשחרר לו את ההצפנה ושאלה שנייה, אם יש מישהו שהתעסק באבטחת מידע, אני אשמח אם הוא ייצור עימי קשר, אני צריך להתייעץ עם מישהו בקשר למוצר שאני עובד עליו. גלעד

 

[תמר,]

הצפנה

כדי להצפין מידע ולשחזר אותו אחר כך, אתה יכול לבנות ספריה שרק בעזרתה יכולים לשלוף נתונים ממסד הנתונים. בספריה הזאת תשלב בכתיבה למסד ובקריאה ממנו פונקציות להצפנה ופיענוח.

 

[gilad_no]

זה מה שהתכוונתי

אבל אני צריך מסד נתונים שייתמוך בזה. אני לא יכול להכניס נתונים מוצפנים למסד נתונים כי אז אני אאבד את היכולות של אינדקסים וכו´

 

[תמר,]

נראה לי שהדרישות שלך קצת סותרות

כי אתה רוצה מצד אחד הצפנה שאינה מובנית, ומצד שני אפשרות לאינדוקס וכדומה - פעולות שמסד הנתונים מטפל בהן. את יכול לנסות לקחת את קוד המקור של שרת SQL חופשי ולהכניס בו את הקוד שלך לקידוד. יש עוד אפשרות - להצפין רק חלק מהמידע, ולשמור בנוסף את השדות של האינדקסים. השאלה היא איזה סוג של נתונים אתה מעוניין להכניס, והאם דרך כזאת מתאימה להם.

 

[gilad_no]

זה גם מה שאני חושב

אני לא יכול להשאיר חלק מהנתונים חשופים. אלא נתונים פיננסים רגישים ואסור לי להשאיר אותם ללא הצפנה, אפילו לא כאינדקסים. נראה לי שלא תהיה לי ברירה אלא לשכתב קוד קיים אבל רציתי לדעת אם מישהו בכל זאת מכיר מוצר שמאפשר גישה למידע שהמסד קורא מהקובץ - עוד לפני שהוא מעבד אותו !!!

 

[antidot]

--->

תראה אם זה מספיק לך:

Encryption is a method for keeping sensitive information confidential by changing data into an unreadable form. Encryption ensures that data remains secure by keeping the information hidden from everyone, even if the encrypted data is viewed directly. Decryption is the process of changing encrypted data back into its original form so it can be viewed by authorized users. Microsoft® SQL Server™ encrypts or can encrypt: Login and application role passwords stored in SQL Server. Any data sent between the client and the server as network packets. Stored procedure definitions. User-defined function definitions. View definitions. Trigger definitions. Default definitions. Rule definitions. Note If you are running Microsoft Windows® 2000 and want to use the Windows 2000 Encrypted File System to encrypt any SQL Server files, you must unencrypt the files before you can change the SQL Server service accounts. If you do not unencrypt the files and then reset the SQL Server service accounts, you cannot unencrypt the files.​

מה שקורה פה, זה שהתעבורה של הנתונים מוצפנת. אתה יכול להצפין עם מפתח של 40 או 128 BIT דרך SSL. לי אישית זה נראה מספיק. בנוסף קיים API של VC++. Antid0t

 

[gilad_no]

הבעיה זה גודל הקבצים

היישום הינו מקומי ויורד במודם. מכיוון שרוב המשתמשים עדיין עובדים עם 56K, לא נראה לי אפקטיבי להגיד לכולם להתקין SQL Server על המחשב שלהם. אני צריך משהו להטמיע בתוך התוכנה שלי

 

[antidot]

--->

OK... הייתי בטוח שאתה מדבר על גישה לבסיס נתונים מרכזי וגישה של קליינטים אליו. האם כמות הנתונים גדולה כ"כ שאתה לא יכול פשוט להצפין את הנתונים ע,י אלגוריטם שאתה תבחר ולשמור את הנתונים ע,י סריאליזציה של VC ? אפשרת לעשות מבנה נתונים שיתבסס על HASH. פונקצית הHASH תהייה פונקצית ההצפנה וזהו... ככה תוכל גם לבצע חיפושים מהירים... או שיש לך המון סוגי נתונים ? Antid0t

 

[gilad_no]

זה מה שאני עושה עכשיו בערך

הגדרתי מבנה נתונים שאני משתמש בו עכשיו. אני רוצה לעבור למסד נתונים כי אני רוצה להוסיף תמיכה לSQL או משהו סטנדרטי שלקוחות יוכלו לשלוף נתונים בצורה קלה

 

[antidot]

--->

מה תגיד על הרעיון הבא: מסד נתונים על בסיס ACCESS כשאתה מוסיף API משלך של הצפנה. הנתונים בACCESS מוצפנים לפי האלגוריטם שלך אבל כל השאילתות עוברות דרך API של encrypt/decrypt . אומנם המפתחות יהרסו אבל אם פונקית ההצפנה תפיק תוצאות דומות לHASH הרי שהנתונים יאופיינו באופן חד-חד ערכי. תוכל לכתוב אובייקט שיהווה שכבה מעל ADO, יתעסק בהצפנה ויעביר את הנתונים לADO. ככה אתה מקבל את הגמישות של SQL, גישה נוחה דרך ADO והצפנה דרך האובייקט שלך. Antid0t

 

[gilad_no]

תגובות:

אם אני מאבד את המפתחות, איבדתי את כל היכולת שלמענה אני צריך מסד נתונים וכבר עדיף לי להמשיך להשתמש בשיטה שאני עובד איתה היום דבר שני, אני לא רוצה שרק התעבורה דרך האובייקט שלי תהיה מוצפנת. אני רוצה לוודא שזו תהיה התעבודה היחידה! שלא תהיה שום אפשרות לגשת לנתונים אם זה לא דרך האובייקט שלי. השאלה שלי שוב, האם אתם יודעים על מסד נתונים תכנותי, לא ללקוח קצה, שנותן קוסטומיזציה ברמה שאני צריך או שלא תהיה לי ברירה ולקחת קוד מקור של מסד נתונים קיים ולשכתב אותו