נושאים פעיליםנושאים פעילים  הצגת רשימה של חברי הפורוםרשימת משתמשים  חיפוש בפורוםחיפוש  עזרהעזרה
  הרשמההרשמה  התחברותהתחברות RSS עדכונים
אבטחת מידע
RSS UnderWarrior Forums : RSS אבטחת מידע
נושא

נושא: הצפנת פרטים ב-SQL Server

 שליחת תגובהשליחת נושא חדש
כותב
הודעה << נושא קודם | נושא הבא >>
מנחם
משתמש מתחיל
משתמש מתחיל
סמל אישי

הצטרף / הצטרפה: 05 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 07 November 2005 בשעה 15:15 | IP רשוּם
ציטוט מנחם

שלום לכולם,
אני כרגע באמצע בניית אתר די גדול (בעזרת ASP ו-MS SQL Server) המכיל מאות משתמשים (להלן: משתמשים) המכניסים נתונים על אנשים איתם הם נמצאים בקשר (להלן: אנשים).

בגלל צורך למנוע מאנשים שאינם אמורים לראות חלק מן המידע (לא מדובר על צפיה דרך ממשק ה-Web, אלא אפילו דרך ה-Database עצמו), חשבתי שיש להצפין את המידע על האנשים בעזרת ת.ז. של המשתמש.

האם מישהו יכול לתת לי איזה סקירה קצרה או המלצה על שיטת הצפנה+פענוח על פי ת.ז. למשל. אין צורך בעוצמת הצפנה חזקה במיוחד.

תודה.
חזרה לתחילת העמוד הצג את כרטיס החבר של מנחם חפש הודעות אחרות של מנחם
 
SBD
פורומיסט על
פורומיסט על
סמל אישי

הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
נשלח בתאריך: 07 November 2005 בשעה 17:35 | IP רשוּם
ציטוט SBD

ממממ...אני רק יגיד שאשםר להמנע מכל הקטע אם רק תגן כמו שצריך על הגישה ל-DB, בכל מקרה אני יחפש לך אלגוריתם הצפנה פשוט, שיפיק עבור כל מפתח כמובן ערכים שונים.



__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
חזרה לתחילת העמוד הצג את כרטיס החבר של SBD חפש הודעות אחרות של SBD בקר בדף הבית של SBD
 
מנחם
משתמש מתחיל
משתמש מתחיל
סמל אישי

הצטרף / הצטרפה: 05 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 07 November 2005 בשעה 17:38 | IP רשוּם
ציטוט מנחם

לכאורה, אפשר אכן היה לפתור את העניין עם הרשאות ל-database.

אלא שישנם מספר אנשים נוספים שיש להם הרשאה ל-FTP וממילא לסיסמא של ה-database, וכך הם יוכלו לראות הכל.
ועל הפרטים שאני מעוניין להצפין חלה חובת חסיון, כך שאין הרבה ברירות...

בכל אופן, תודה רבה לך SBD!
חזרה לתחילת העמוד הצג את כרטיס החבר של מנחם חפש הודעות אחרות של מנחם
 
cp77fk4r
מנהל פורומים
מנהל פורומים
סמל אישי
מנהל פורום אבטחת מידע

הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
נשלח בתאריך: 09 November 2005 בשעה 17:32 | IP רשוּם
ציטוט cp77fk4r

מנחם- למה שלא תשתמש באלגוריתם הצפנה מוכר- או אפילו שתבנה אחד בעצמך, שישתמש במפתח, והמפתח יהיה התעודת זהות של אותו משתמש, תוכל אפילו להשתמש באלגוריתם הצפנה מונואלפבתי פשוט, הפרטים כל כך קצרים שיהיה ממש קשה לבצע ניתוח תדירות.

שם פרטי או בן משפחה של בן אדם לא יהיה באורך של 20 תווים, יהיה די קשה לבצע ניתוח תדירות על מחרוזת בעלת 8 תווים למשל..

 

מבין מה אני אומר?



__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
חזרה לתחילת העמוד הצג את כרטיס החבר של cp77fk4r חפש הודעות אחרות של cp77fk4r בקר בדף הבית של cp77fk4r
 
SBD
פורומיסט על
פורומיסט על
סמל אישי

הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
נשלח בתאריך: 09 November 2005 בשעה 17:47 | IP רשוּם
ציטוט SBD
cp77fk4r כתב:

מנחם- למה שלא תשתמש באלגוריתם הצפנה מוכר- או אפילו שתבנה אחד בעצמך, שישתמש במפתח, והמפתח יהיה התעודת זהות של אותו משתמש, תוכל אפילו להשתמש באלגוריתם הצפנה מונואלפבתי פשוט, הפרטים כל כך קצרים שיהיה ממש קשה לבצע ניתוח תדירות.

שם פרטי או בן משפחה של בן אדם לא יהיה באורך של 20 תווים, יהיה די קשה לבצע ניתוח תדירות על מחרוזת בעלת 8 תווים למשל..

 

מבין מה אני אומר?

במידה ומדובר בהצפנה פולי אלפבתית צריך לדאוג שאם אתה בונה מפתח שלא יהיה כפיליות לא CP?



__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
חזרה לתחילת העמוד הצג את כרטיס החבר של SBD חפש הודעות אחרות של SBD בקר בדף הבית של SBD
 
cp77fk4r
מנהל פורומים
מנהל פורומים
סמל אישי
מנהל פורום אבטחת מידע

הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
נשלח בתאריך: 09 November 2005 בשעה 18:04 | IP רשוּם
ציטוט cp77fk4r

לאו דווקא, אם יהיו לו כפילויות זה דווקא יכול לעזור בשימוש.

כשכתבתי "הצפנה מונואלפבתית" התכוונתי להצפנה פשוטה, וסתם נתתי דוגמא לסוגי הצפנות פשוטות.. מה שהבן אדם צריך לבדוק כשהוא יוצר את האלגוריתם- זה שהוא יהיה דו סיטרי, כי אם הוא יהיה חד סיטרי המסד שלו יהיה חסר ערך, כי כל מחרוזת שתכנס אליו- תהיה מוצפנת בצורה כזאת שאי אפשר להחזיר אותה, וככה גם אם הוא יציג מידע- המידע יהיה מוצפן והגולש לא יוכל להבין אותו.

הרעיון פה הוא שימוש בהצפנה מבוססת מפתח שתהיה דו-סיטרית, המפתח כמובן יהיה הת"ז של המשתמש.

אגב, אם הת"ז יהיה המפתח של ההצפנה- זאת אומרת שהתעודות זהות לא יהיו מוצפנות, וככה, שאם מישהו יפרוץ למסד נתונים- הוא יהיה בעל גישה לטבלת התעודות זהות- ובעזרת תוכנה בשם "מירשם" או "רישומון" או שאר התוכנות האלה, הוא יוכל להשיג לבד את שאר הפרטים של המשתמש.

בשביל לפתור את הבעיה הנ"ל תעשה דבר כזה: בנה לך אלגוריתם שיחולל מפתחות ע"פ הת"ז של המשתמש שנרשם- ובשביל להצפין את המחרוזות אל תשתמש בתעודת זהות, אלה במפתחות שהאלגוריתם שלך חולל, האלגוריתם לא חייב להיות חד סיטרי, אני אפילו ממליץ לך להשתמש בהאש כמו MD5, בעזרת שיטה זאת, גם אם מישהו יפרוץ למסד שלך- הוא לא יוכל לבצע שימוש בשום מידע שהוא קיבל בטבלה ואף לא במפתח עצמו- כי אופן התנהלות האלגוריתם שמשתמש באותו המפתח שהוא השיג- לא יהיה מוכר לו, ולכן אני גם ממליץ להשתמש באלגוריתם בייתי חזק ויעיל שתכתוב בעצמך- כי כך הוא גם לא יוכל לחפש אחר האלגוריתם ולנסות לראת איך הוא פועל.

 

מקווה שעזרתי :)



__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
חזרה לתחילת העמוד הצג את כרטיס החבר של cp77fk4r חפש הודעות אחרות של cp77fk4r בקר בדף הבית של cp77fk4r
 
מנחם
משתמש מתחיל
משתמש מתחיל
סמל אישי

הצטרף / הצטרפה: 05 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 10 November 2005 בשעה 00:30 | IP רשוּם
ציטוט מנחם

הבנתי, רעיונות טובים..

תודה לכולכם!
חזרה לתחילת העמוד הצג את כרטיס החבר של מנחם חפש הודעות אחרות של מנחם
 
cp77fk4r
מנהל פורומים
מנהל פורומים
סמל אישי
מנהל פורום אבטחת מידע

הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
נשלח בתאריך: 10 November 2005 בשעה 02:00 | IP רשוּם
ציטוט cp77fk4r

חח בדיוק בשביל זה אנחנו פה, בבקשה ו.. בהצלחה :)

אם אתה נתקבל בקשיים- נשמח אם נוכל לעזור בשנית.



__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
חזרה לתחילת העמוד הצג את כרטיס החבר של cp77fk4r חפש הודעות אחרות של cp77fk4r בקר בדף הבית של cp77fk4r
 
Nameless
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 10 November 2005 בשעה 15:05 | IP רשוּם
ציטוט Nameless
לא מומלץ להשתמש בתעודת זהות של אותו אדם כמפתח
חזרה לתחילת העמוד הצג את כרטיס החבר של Nameless חפש הודעות אחרות של Nameless בקר בדף הבית של Nameless
 
cp77fk4r
מנהל פורומים
מנהל פורומים
סמל אישי
מנהל פורום אבטחת מידע

הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
נשלח בתאריך: 10 November 2005 בשעה 17:30 | IP רשוּם
ציטוט cp77fk4r
ניימלס- תקרא בבקשה את מה שכתבתי.

__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
חזרה לתחילת העמוד הצג את כרטיס החבר של cp77fk4r חפש הודעות אחרות של cp77fk4r בקר בדף הבית של cp77fk4r
 
Nameless
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 10 November 2005 בשעה 21:34 | IP רשוּם
ציטוט Nameless
אני עדיין לא אוהב את השילוב של תעודת הזהות בתהליך
חזרה לתחילת העמוד הצג את כרטיס החבר של Nameless חפש הודעות אחרות של Nameless בקר בדף הבית של Nameless
 
מנחם
משתמש מתחיל
משתמש מתחיל
סמל אישי

הצטרף / הצטרפה: 05 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 23
נשלח בתאריך: 03 December 2005 בשעה 18:50 | IP רשוּם
ציטוט מנחם

שוב שלום!

האם יש חדש בעניין? האם מישהו יכול למצוא אלגוריתם טוב (ופשוט!) להצפנה של שמות וכו'?
חזרה לתחילת העמוד הצג את כרטיס החבר של מנחם חפש הודעות אחרות של מנחם
 
shoshan
מנהל האתר
מנהל האתר
סמל אישי

הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
נשלח בתאריך: 03 December 2005 בשעה 19:31 | IP רשוּם
ציטוט shoshan
בשביל מה אתה צריך חדש ?
CP אמר לך...
נגיד הצפנת "קיסר" פשוטה...חפש בגוגל...
תקבל תוצאות כמו 1,2
חזרה לתחילת העמוד הצג את כרטיס החבר של shoshan חפש הודעות אחרות של shoshan בקר בדף הבית של shoshan
 
[01]
משתמש מתחיל
משתמש מתחיל
סמל אישי

הצטרף / הצטרפה: 29 August 2005
משתמש: מנותק/ת
הודעות: 6
נשלח בתאריך: 17 December 2005 בשעה 16:37 | IP רשוּם
ציטוט [01]
אני רק רוצה לציין שברגע שאתה מחליט להוסיף חוליה למערכת שלך
שמצפינה ומפענחת את המידע שבא ויוצא מן הבסיס נתונים
אתה מוסיף עומס על המערכת הצד שרתית שבכל פעם צריכה להפוך
את המידע.
עומס על הצד שרת עלול לגרום לקריסה של המערכת שלא תספיק לעמוד בבקשת המשתמשים ולבצע את המשימה עד תום הזמן שהוקצב לה(ערך ה-timeout).

ואם בכל זאת אתה מתעקש לבצע הצפנה אני מציע שהיא תהיה מהירה
ופשוטה ולא תגזול משאבים לזמן ממושך מידי.

ובקשר לאיזו הצפנה יש לבחור אני מציע שלא תלך רחוק מידי
הרי שאני בספק אם יש בן אדם נואש מידי בשביל לנסות לפענח
טקסט מסויים שמובן מאליו שהוא נטול כל ערך (כספי או לא).

ובהתאם לזאת וכמו שנאמר אם לא מעורב כאן כסף פשוט תתכנת את
המערכת הצד שרתית שלך כך שלא תאפשר גישה לא צפויה ולא
רצויה לבסיס הנתונים.

רות סוף.
Exodus
חזרה לתחילת העמוד הצג את כרטיס החבר של [01] חפש הודעות אחרות של [01]
 
B~HFH
משתמש מתחיל
משתמש מתחיל


הצטרף / הצטרפה: 03 March 2005
משתמש: מנותק/ת
הודעות: 22
נשלח בתאריך: 17 December 2005 בשעה 22:29 | IP רשוּם
ציטוט B~HFH
הצפנה זה מילה כללית מדיי בשביל לבקש דבר כזה באתר מסוים.
תנסה לפרט בצורה יותר נרחבת על החשיבות של המסד ואילו נזקים יכולים להיגרם בזמן שמישהו לא מורשה מצליח להוציא פרטים מן המסד.
לפי זה אפשר לדעת בדיוק איזה סוג הצפנה אתה צריך , ואם תצטרך משהו מסובך שתרכיב בעצמך.

כמו שסיפי אמר , הצפנה דו סיטרית זה מה שאתה צריך  , אבל לא הייתי בוחר בהצפנה מונואלפבתית מהסיבה שהניתוח תדירות בה יוכל להיות מאוד קל לפיצוח .
אומנם כל שדה הוא בסך הכל כ 8 תווים , אבל ברגע שיש כמה שדות כאלה (במקרה שלך זה אולי מאות) ובכל אחד יש פרטים שלא קשה לנחש ( ערים וכו') זה יהפוך את ההצפנה לקלה לפיצוח.

ובקשר לאיטיות שיכולה להיגרם כתוצאה מהפצנה ,
שרתים היום לא ממש יתקשו בביצוע הצפנות קלות , גם אם זה מאות פיצוחים כאלו בשנייה.
חזרה לתחילת העמוד הצג את כרטיס החבר של B~HFH חפש הודעות אחרות של B~HFH
 
[01]
משתמש מתחיל
משתמש מתחיל
סמל אישי

הצטרף / הצטרפה: 29 August 2005
משתמש: מנותק/ת
הודעות: 6
נשלח בתאריך: 18 December 2005 בשעה 09:07 | IP רשוּם
ציטוט [01]
B~HFH כתב:
הצפנה זה מילה כללית מדיי בשביל לבקש דבר ובקשר לאיטיות שיכולה להיגרם כתוצאה מהפצנה ,
שרתים היום לא ממש יתקשו בביצוע הצפנות קלות , גם אם זה מאות פיצוחים כאלו בשנייה.



אני מציע שלא תזרוק סתם דברים לאוויר.
מכוון שתהליך ההצפנה עשוי להיות תהליך מפרך יחסית למערכת צד שרתית שבו היא חייבת כל פעם מחדש לעבור ערך ערך ולהצפין
או לחלופין להפענח אותו.
ובעת עומס על המערכת עושיה להיווצר בעיה בגלל שלספקריפט כבר
לוקח יותר מידי זמן לבצע את הפעולה בגלל שהיא מסורבלת וארוכה יחסית. ולהפר את הגדרת ה timeout מה גם שאם המתכנת
תיכנת בצורה לא נכונה את המערכת
הוא יכול לגרום לכך שהסקריפט מייצר יותר מידי התקשרויות פתוחות
אם בסיס הנתונים שעוד לא נסגרו בגלל שהפעולה עוד לא הסתיימה
ובכך יכולך להיווצר כשל בין הבסיס נתונים שלא יכול לקבל
עוד התקשרויות אליו מהסקריפט.

לא פעם התנסיתי בבניית מתקפה מוצלחת שהתבססה על טקטיקת תקיפה שכזו.

Exodus
חזרה לתחילת העמוד הצג את כרטיס החבר של [01] חפש הודעות אחרות של [01]
 
B~HFH
אורח
אורח


הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
נשלח בתאריך: 18 December 2005 בשעה 18:29 | IP רשוּם
ציטוט B~HFH

[01 כתב:
]
B~HFH כתב:
הצפנה זה מילה כללית מדיי בשביל לבקש דבר ובקשר לאיטיות שיכולה להיגרם כתוצאה מהפצנה ,
שרתים היום לא ממש יתקשו בביצוע הצפנות קלות , גם אם זה מאות פיצוחים כאלו בשנייה.



אני מציע שלא תזרוק סתם דברים לאוויר.
מכוון שתהליך ההצפנה עשוי להיות תהליך מפרך יחסית למערכת צד שרתית שבו היא חייבת כל פעם מחדש לעבור ערך ערך ולהצפין
או לחלופין להפענח אותו.
ובעת עומס על המערכת עושיה להיווצר בעיה בגלל שלספקריפט כבר
לוקח יותר מידי זמן לבצע את הפעולה בגלל שהיא מסורבלת וארוכה יחסית. ולהפר את הגדרת ה timeout מה גם שאם המתכנת
תיכנת בצורה לא נכונה את המערכת
הוא יכול לגרום לכך שהסקריפט מייצר יותר מידי התקשרויות פתוחות
אם בסיס הנתונים שעוד לא נסגרו בגלל שהפעולה עוד לא הסתיימה
ובכך יכולך להיווצר כשל בין הבסיס נתונים שלא יכול לקבל
עוד התקשרויות אליו מהסקריפט.

לא פעם התנסיתי בבניית מתקפה מוצלחת שהתבססה על טקטיקת תקיפה שכזו.

Exodus

 

אני לא זרקתי סתם דברים ,

אני דיברתי על "הצפנות קלות" ,

כאלה  ששרת מבצע מאות בשנייה.

ברגע שההצפנה תהפוך להיות אלגוריתם יותר מאובטח ומסורבל , אז הוא יהיה חייב לחשוב על דרך לעשות אותו יעיל , אחרת השרת עלול לקרוס.
חזרה לתחילת העמוד הצג את כרטיס החבר של B~HFH חפש הודעות אחרות של B~HFH בקר בדף הבית של B~HFH
 

אם ברצונך להגיב לנושא זה עליך קודם להתחבר
אם אינך רשום/ה כבר עליך להרשם

  שליחת תגובהשליחת נושא חדש
גרסת הדפסה גרסת הדפסה

קפיצה לפורום
אינך יכול/ה לשלוח נושאים חדשים בפורום זה
אינך יכול/ה להגיב לנושאים בפורום זה
אינך יכול/ה למחוק את הודעותיך ותגוביך בפורום זה
אינך יכול/ה לערוך את הודעותיך ותגובותיך בפורום זה
אינך יכול/ה לצור סקרים בפורום זה
אינך יכול/ה להצביע בסקרים בפורום זה