[bglug] algoritmi di cifratura

./SuperbepS superbeps@bglug.it
Gio 14 Apr 2005 09:39:48 CEST


Alle 16:41, mercoledý 13 aprile 2005, il_manuel@inventati.org ha scritto:
> ok, penso puntero' su AES

:-)

> no, si tratta di dati anagrafici, che fra l'altro mi occorrono anche in
> chiaro (per quello il semplice hashing non andava bene).

la domanda nasce spontanea:
Ma tu cifreresti i dati e per poi decifrarli nello script stesso ?
In questo caso sposti l'anello debole della tua catena sulla sicurezza dello 
script e non del DB...
In tal caso penso che la crittografia non sia utile ai fini di una maggiore 
sicurezza del tuo applicativo.

Per essere piu' chiaro, supponiamo che tu riceva dei dati da un utente, che 
questi dati vengano cifrati ed inseriti in un DB e poi scaricati da te che li 
decifrerai. In questo scenario hai due punti di rottura: il primo e' il tuo 
pc con la chiave, ed il secondo e' il server steso che all'interno dello 
script contiene questa fantomatica chiave...
Se questo scenario e' corretto, usando un algoritmo di cifratura asimmetrico, 
toglieresti un punto debole alla catena avendo sul server solo la 
chiave pubblica.

In un altro possibile scnario la tua webapp potrebbe ricevere dei dati, 
cifrarli e metterli nel DB, quindi accedervi in qualche modo per farli vedere 
all'ultente stesso. In uno scenario di questo tipo, non vedo alcun beneficio 
nell'usare la crittografia poiche' in questo scenario trovo che l'anello 
debole sia la sicurezza del server.

Insomma ricorda che la sicurezza di un sistema e' pari alla sicurezza 
dell'anello piu' debole che compone il sistema stesso! 

Beppe


Maggiori informazioni sulla lista bglug