[bglug] algoritmi di cifratura
./SuperbepS
superbeps@bglug.it
Gio 14 Apr 2005 09:39:48 CEST
Alle 16:41, mercoledì 13 aprile 2005, il_manuel@inventati.org ha scritto:
> ok, penso puntero' su AES
:-)
> no, si tratta di dati anagrafici, che fra l'altro mi occorrono anche in
> chiaro (per quello il semplice hashing non andava bene).
la domanda nasce spontanea:
Ma tu cifreresti i dati e per poi decifrarli nello script stesso ?
In questo caso sposti l'anello debole della tua catena sulla sicurezza dello
script e non del DB...
In tal caso penso che la crittografia non sia utile ai fini di una maggiore
sicurezza del tuo applicativo.
Per essere piu' chiaro, supponiamo che tu riceva dei dati da un utente, che
questi dati vengano cifrati ed inseriti in un DB e poi scaricati da te che li
decifrerai. In questo scenario hai due punti di rottura: il primo e' il tuo
pc con la chiave, ed il secondo e' il server steso che all'interno dello
script contiene questa fantomatica chiave...
Se questo scenario e' corretto, usando un algoritmo di cifratura asimmetrico,
toglieresti un punto debole alla catena avendo sul server solo la
chiave pubblica.
In un altro possibile scnario la tua webapp potrebbe ricevere dei dati,
cifrarli e metterli nel DB, quindi accedervi in qualche modo per farli vedere
all'ultente stesso. In uno scenario di questo tipo, non vedo alcun beneficio
nell'usare la crittografia poiche' in questo scenario trovo che l'anello
debole sia la sicurezza del server.
Insomma ricorda che la sicurezza di un sistema e' pari alla sicurezza
dell'anello piu' debole che compone il sistema stesso!
Beppe
Maggiori informazioni sulla lista
bglug