Cifrado texto cifrado vs nivel de base de datos

3

Para los datos que deben estar encriptados (leer de nuevo, no con un hash como una contraseña), ¿el almacenamiento de texto cifrado en una base de datos le hace ganar mucho dinero al usar el cifrado integrado en la base de datos?

En este caso, sería un texto cifrado generado por attr_encrypted vs PostgreSQL's pgcrypto . Me parece que protege los datos que se obtuvieron a partir de la inyección SQL o el acceso a la base de datos, siempre que la clave permanezca segura.

La desventaja del texto cifrado es que se pierde la capacidad de consultar los datos, por lo que si solo se trata de un teatro de seguridad, parece mejor usar el cifrado de base de datos incorporado.

    
pregunta kreek 27.01.2017 - 00:50
fuente

1 respuesta

2
  

... ¿el almacenamiento de texto cifrado en una base de datos le ayuda mucho a usar el cifrado incorporado en la base de datos?

     

¿Me parece que protege los datos que se obtuvieron a partir de la inyección de SQL o el acceso a la base de datos mientras la clave permanezca segura?

No. SQLi se puede usar para escalar rápidamente el acceso al resto de la máquina.

Forme los documentos pgcrypto que enumera:

  

F.25.6.3. Limitaciones de seguridad

     

Todas las funciones pgcrypto se ejecutan dentro del servidor de base de datos. Eso significa que   Todos los datos y contraseñas se mueven entre pgcrypto y el cliente.   Aplicaciones en texto claro. Por lo tanto usted debe [cualquiera]:

-Connect locally or use SSL connections.

-Trust both system and database administrator.
     

Si no puede, es mejor hacer criptografía dentro de la aplicación cliente.

Esto significa que si un atacante puede ingresar a la máquina, sus datos están expuestos.

Como sugieren, si esto no se puede descartar, puede hacer una de dos cosas:

  • Mueva la aplicación a una máquina separada para que la clave no esté en la misma máquina que la base de datos
  • Cifre los datos en la aplicación cliente.
  

La desventaja del texto cifrado es que se pierde la capacidad de consultar los datos.

No del todo. Aquí hay una guía para indexar datos cifrados en SQL

    
respondido por el J.A.K. 27.01.2017 - 01:23
fuente

Lea otras preguntas en las etiquetas