|
|
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, Способо то штатный, а как этот ключик скрыть от DBA. Чтобы он его не увидел нигде в коде. Потому что это будут не ad-hoc запросы, а работающие процедуры и так далее. Т.е нам нужно, что SSRS уже забирал расшифрованные данные. Соответственно этот пароль нужно будет вводить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:27 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliа как этот ключик скрыть от DBA. Чтобы он его не увидел нигде в коде. DBA не программирует приложения, не имеет доступа к их коду, а как следствие - не может увидеть пароль. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:42 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliЗащитой от DBA, единственный способ защиться, это зашифровать все паролем. И закрыть доступ к этому паролю, от самого админа. Поэтому и придется изобретать "велосипед" с хранением этого пароля и тасканием его в базу. это просто фобия. p.s. мы в одной БД храним ключи, в другой расшифровку. Т.е. полную информацию можно получить только связав все в приложении. Доступ к приложения стандартно защищается. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:44 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, Пароль будет подсовываться к объектам БД, а соответственно это зона ответственности DBA. А можете подсказать, есть сделать создать VIEW c параметром Encrypted, то DBA сможет добраться до кода этого вью? И увидить, что там находится? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:45 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliDimitry Sibiryakov, Способо то штатный, а как этот ключик скрыть от DBA. Чтобы он его не увидел нигде в коде. Потому что это будут не ad-hoc запросы, а работающие процедуры и так далее. Т.е нам нужно, что SSRS уже забирал расшифрованные данные. Соответственно этот пароль нужно будет вводить. может просто сменить DBA если этому настолько не доверяете. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:46 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
iscrafm, Я тоже уже начал думать в эту сторону, чтобы хранить ключи где-то в другом месте. Либо в какой-то таблице и вытаскивать оттуда по поределенному алгоритму))) Еще момент, подумать в сторону Encrypted View. DBA сможет увидеть их содержимое? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:47 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliПароль будет подсовываться к объектам БД, а соответственно это зона ответственности DBA. пароль - это зона ответственности владельца информации, но никак не DBA ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:47 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
iscrafm, К сожалению, это ключевое требование! Я конечно понимаю, что не получится защиться от DBA на все 100%, но все же. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:48 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
iscrafmwizliDimitry Sibiryakov, Способо то штатный, а как этот ключик скрыть от DBA. Чтобы он его не увидел нигде в коде. Потому что это будут не ad-hoc запросы, а работающие процедуры и так далее. Т.е нам нужно, что SSRS уже забирал расшифрованные данные. Соответственно этот пароль нужно будет вводить. может просто сменить DBA если этому настолько не доверяете. Но как объекты БД это зона ответственности DBA. Он их может посмотреть, а соответственно увидеть пароль, если он там будет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:49 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliНо как объекты БД это зона ответственности DBA. Он их может посмотреть, а соответственно увидеть пароль, если он там будет. Ты статью по ссылке читал? Пароль не хранится в объектах БД. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:52 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliобъекты БД это зона ответственности DBA. Нет, это зона ответственности разработчика БД. DBA в них копаться незачем. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:56 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>wizli, сегодня, 16:48 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18600339][18600339] >...не получится защиться от DBA на все 100%... Ну почему, Вам же ранее предложили шифровать BLOB записи на месте. Ключ шифрования знает только пользователь. С уважением, Владимир ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 17:06 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliПриступлю сразу к делу. Сколько денег есть у вас на эти хотелки? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 20:49 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliiscrafmпропущено... может просто сменить DBA если этому настолько не доверяете. Но как объекты БД это зона ответственности DBA. Он их может посмотреть, а соответственно увидеть пароль, если он там будет. не допускайте хранения паролей в этой базе данных тогда. Одно из главных правил безопасности - храните все "в разных кучках". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 21:54 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
представляю если бы пины хранились вместе с картами... Вот где раздолье хакерам. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 21:56 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
пример информации в БД PAYORGID = {D067C844-3BF8-4C94-9566-0539F42F38F6} при этом сам список PAYORG находится вообще на другом узле и в другой СУБД. Просто как пример того, о чем я говорил ранее iscrafmмы в одной БД храним ключи, в другой расшифровку. Т.е. полную информацию можно получить только связав все в приложении. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 22:01 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>iscrafm, вчера, 22:01 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18601618][18601618] >...на другом узле и в другой СУБД... А что это дает, если DBA имеет доступ и на другой узел и к другой СУБД? > Вы же точны : пароль - это зона ответственности владельца информации. Так пусть и хранит его на своей флешке в крипто контейнере. Все данные по владельцу делим на две части - поисковую (пример: Ф-И-О, место и дата, и пр.) и закрытую. Закрытая для клиентского приложения, например, есть объект класса, для базы данных - BLOB (к примеру). На уровне клиентского приложения при записи в базу данных объект класса сериализуется и шифруется (возможна компрессия) и записывается в поле записи. При чтении, соответственно, наоборот. С уважением, Владимир ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 14:28 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеевВсе данные по владельцу делим на две части - поисковую (пример: Ф-И-О, место и дата, и пр.) и закрытую. Ситуации, когда можно так разделить - редкий и тривиальный кейс, в общем случае на это рассчитывать нельзя. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 14:36 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>Кот Матроскин, сегодня, 14:36 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18604602][18604602] >...редкий и тривиальный кейс... Я без претензий на какую-то всеобщность подобного решения и не собираюсь что-либо навязывать. Но примерно по такой схеме храню папки (сериализация-компрессия-шифрование) с клиентскими приложениями на сервере. Есть пароль - можете подгрузить и запустить приложение на локальной машине, а уж что делает оное приложение ... Хочу сказать, что есть область применения подобной схемы, кроме как персональные данные. С уважением, Владимир ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 15:08 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеев>iscrafm, вчера, 22:01 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18601618][18601618] >...на другом узле и в другой СУБД... А что это дает, если DBA имеет доступ и на другой узел и к другой СУБД? тоже самое что и защита от ДБА ВМоисеевТак пусть и хранит его на своей флешке в крипто контейнере. на две строки выше вы говорили что это ничего не дает. У нас просто разные понятия о приложениях, поэтому присутствует некоторое непонимание. Я говорю на примере ISCRA Framework и реальных систем где часть информации в одном месте, часть в другом, а владелец доступа к приложения видит все как надо, остальные видят только gUID-ы какие-то, потому что не имеют той части, которая на флешке. Но вообще считаю это конечно насколько фобией, потому что существуют 100500 известных способов получить информацию если она действительно нужна и чего-то стоит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 15:19 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>iscrafm, сегодня, 15:19 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18604820][18604820] >...где часть информации в одном месте, часть в другом... И что, DBA, кто имеет доступ к эти не зашифрованным частям не соберет их вместе? >...а владелец доступа к приложения... Не могу с Вами не согласиться - разграничение доступа к клиентскому приложению архиважный момент, на мой взгляд - фундаментальный слой безопасности. >...потому что существуют 100500 известных способов... Не могу с Вами согласиться - файл зашифрованный нормальной криптосистемой (например, WinRAR) с нормальным ключем, вряд ли можно дешифрировать за реальное время, если исключить деньги и паяльник. С уважением, Владимир. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 15:45 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеевфайл зашифрованный нормальной криптосистемой (например, WinRAR) с нормальным ключем, вряд ли можно дешифрировать за реальное время, если исключить деньги и паяльник Ну да, ну да, давайте искусственно ограничивать возможности атакующего. AES на данный момент считается невосприимчивым к brute force и атаке по известному plain text. Но это не значит, что системы, использующие его, абсолютно защищены. Просто слабым звеном становятся управление ключом и законные пользователи. Ни к чему подбирать ключ к файлу если можно поставить кейлоггер его пользователю или просто подождать пока он этот файл сам расшифрует. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 16:27 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеев>iscrafm, сегодня, 15:19 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18604820][18604820] >...где часть информации в одном месте, часть в другом... И что, DBA, кто имеет доступ к эти не зашифрованным частям не соберет их вместе? при помощи паяльника, как говорят в определенных кругах - конечно. ВМоисеев>...потому что существуют 100500 известных способов... Не могу с Вами согласиться - файл зашифрованный нормальной криптосистемой (например, WinRAR) с нормальным ключем, вряд ли можно дешифрировать за реальное время, если исключить деньги и паяльник. это просто никому не нужно. Но фобии живут, я об этом с самого начала говорю. Любая защита имеет смысл только от "случайных прохожих". Если же поставлена цель добычи какой-то информации, то взламывание шифров - нереальный вариант ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 16:41 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>Dimitry Sibiryakov, сегодня, 16:27 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18605211][18605211] >...Ни к чему подбирать ключ к файлу... Но доступ к компу пользователя может быть проблемой. Вы правы, не видел бардачней персонала, чем врачи. Их работа с паролями, это что-то. Но в банке приучили персонал уходя и брать с собой "таблетку", потом "салазки" и старт с "нулевой" (исходной, архивной) копии системы. Броня-снаряд. При нормальных сис- сек- админах технически получить пароль сложно. Дешевле купить. С уважением, Владимир. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.12.2015, 17:15 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliВсем привет! Приступлю сразу к делу. Есть база, где находится крайне конфидициальная информация, и необходимо ее зашифровать, в том числе и от админов. Расшифрованные данные должны видеть только юзеры, по средством отчетности. Задача свести к минимуму риск утечки информации. База стоит на стеке технологий MS. Планирую реализовывать шифрования внутренними средствами, но хотелось бы узнать про внешние возможности. Потому что внутренний стек не дает полную защиту, довольно много дыр. Плюс тяжко защищаться от DBA)) В первую очередь рассматриваю коммерчиские продукты, с поддержкой и так далее. Interbase XE вас спасет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.12.2015, 08:59 |
|
||
|
|
start [/forum/topic.php?fid=32&msg=39136284&tid=1540416]: |
0ms |
get settings: |
8ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
163ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
62ms |
get tp. blocked users: |
2ms |
| others: | 15ms |
| total: | 285ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
