Où doit-on stocker la clé de chiffrement lors de l'utilisation du cryptage AES avec PHP?
https://stackoverflow.com/questions/2210011
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis encrpytion bits de mise en œuvre AES-256 dans mon application web:
http: //www.utoxin. nom / 2009/07 / automatique-db-champ cryptage en CakePHP /
L'une des étapes dit pour stocker l'algorithme de chiffrement utilisé et la clé dans un fichier boostrap. Mais ce qui est d'arrêter quelqu'un de l'analyse du système de fichiers avec PS ou quelque chose et déchiffrer les données?
Quelle est la meilleure façon de sécuriser les données?
La solution
Si quelqu'un a accès à tous les fichiers sur le disque dur de votre serveur, tous les paris sont ouverts. Il n'y a aucun moyen que vous pouvez protéger vos données alors, parce que votre webapp doit encore être en mesure d'y accéder.
Ce cryptage ne vous protéger contre les pirates qui peuvent accéder à la base de données, mais pas le système de fichiers, par exemple par injection SQL. Et même dans ce cas, ils peuvent être en mesure de lire les données: en fonction de la fuite particulière, la webapp peut heureusement le déchiffrer pour eux
Autres conseils
(Je sais que c'est une question ancienne, mais comme l'auteur du blog lié, je voulais ajouter quelques commentaires)
Qu'est-ce que la réponse acceptée est dit tout correct. Une fois que votre système de fichiers est compromise, il n'y a pas de protection. En outre, oui, si mal écrit, il est possible d'exposer des données sous une forme non chiffrée. Cet outil a été conçu pour fournir simplement un moyen de rendre beaucoup plus facile de gérer le chiffrement des données dans la base de données. Si vous ne souhaitez pas la fonctionnalité auto-décryptage, il serait trivial de supprimer le rappel afterFind () sur le comportement de sorte qu'il ne déclenche pas plus, ainsi que tout nombre d'autres ajustements qui pourraient améliorer la sécurité (au prix de commodité).
J'espère que cela aide quelqu'un d'autre qui tombe par hasard sur ce poste. Quelqu'un, puisque je viens de recevoir un succès couple sur mon blog de cette question. :)
Sur une boîte unix vous pouvez l'enregistrer dans un fichier, créé par le compte utilisateur pour apache, avec 0600 permisions. On peut y accéder par la racine, donc si la boîte il est sûr qu'il n'y a pas de boîtes de fenêtres problem.On, je ne sais pas.
