Encriptar antes de entrar en BBDD

titon · #1 (**permalink**) 12/07/2006, 08:21

Saludos,

para realizar una aplicacion en ASP, el cliente me pide la total encriptacion de los datos en la BBDD dada la importancia de estos.

El cliente lo q quiere es q si alguien roba esa BBDD, q se encuentre con los datos encriptados.

Una rapida solucion podria ser ponerle contraseña a la BBDD pero toda contraseña se puede encontrar a base de Fuerza Bruta.

Que soluciones me proponeis? Gracias

Con la aplicación de momento trabajaran de forma local. (sin ninguna conexion a internet) por lo que en viaje de los datos al servidor de momento no tienen q estar encriptados

El_Metallick · #2 (**permalink**) 12/07/2006, 09:39

hay funciones en la biblioteca de funciones para encriptar.. saludos

titon · #3 (**permalink**) 12/07/2006, 10:56

Gracias es la unica forma no? con algoritmo o funcion? ok

ElAprendiz · #4 (**permalink**) 12/07/2006, 13:32

pero que quieres encriptar, solo las contraseñas o todos los datos?

si es lo primero cualquier algoritmo de encriptacion te sirve, para lo segundo necesitarias ademas un algoritmo para desencriptar.

saludos

titon · #5 (**permalink**) 13/07/2006, 02:53

El segundo, todos los datos deben estar en la BDD encriptados.

He encontrado un algoritmo q a traves de una clave de 512 encripta y otro para desencriptar

goteen_mx · #6 (**permalink**) 13/07/2006, 07:41

Tienes que ver la cantidad de información que vas a cifrar ya que los algoritmos asimétricos o de llave publica(que con una llave se cifra y con otra se descifra) son más confiables como el RSA y Curvas Elipticas pero es mucho más tardado por la cantidad de operaciones que realiza, los simétricos o de clave secreta(con la misma llave se cifra y descifra) como el DES, TDES, AES son mucho más rápidos pero son más vulnerables entre comillas por la distribucion de llaves.

lo que primero debes de analizar es como vas a manejar tu distribucion de llaves y el algiritmo a usar, yo lo que haria seria con simétrica con TDES o AES tener una base de datos con las HASH de las claves y las llaves y ahora si cada que guardes un dato ingresas tu clave vas y la buscas en la base de claves para que te de tu llave con la que cifras y tener un include en tus páginas ASP que cifre o descifre los datos segun sea el caso, eso si tienes muchas claves si no con una sola llave es suficiente.

una pregunta, si es local por que el asp?

pd. entre más grande sea la clave más tarda en cifrar y descifrar asi que con una de 128 o 256 estaria bien.
y para romper una clave siempre es mejor la ingenieria social que la fuerza bruta.
Bye

Saludos

titon · #7 (**permalink**) 14/07/2006, 01:13

Necesito una seguridad muy buena, son datos de niños y la seguridad va a ser lo mas importante.

Asp es el lenguaje q conozco.

titon · #8 (**permalink**) 01/09/2006, 03:51

Bueno despues de las primeras pruebas he tenido varios problemas con las cadenas encriptadas dado q rompen el sql.

sql="..." & Encriptar(var1) & "..." & Encriptar(var2)

Desde asp hago un response.write(sql) y segun que cadenas que intente encriptar me printa en pantalla un sql roto, q se come la 2a variable, solo sale el primer trozo y se nota q es por causa del Encriptar porque no sale el segundo trozo de sql.

Alguna ayuda?

titon · #9 (**permalink**) 12/09/2006, 04:08

He estado viendo algunos comandos de mysql como el ENCRYPT(), MD5(),SHA1().

Haré alguna prueba