Quiero que se verifique la seguridad de mi código criptográfico, ¿cómo debo hacerlo?

5

Específicamente, parte de mi sistema almacena información cifrada en una base de datos. Escribí el código que en realidad hace el cifrado / descifrado utilizando un cifrado existente.

¿Cómo debo asegurarme de que el sistema que diseñé es seguro?

La única opción que conozco es contratar a un consultor de seguridad o compañía para auditar mi protocolo de seguridad. Cualquier información relacionada con esta opción es apreciada, así como otras opciones.

    
pregunta crawfish 16.07.2012 - 21:54
fuente

3 respuestas

5

Puedes

  • haga que su código sea auditado
  • haga que su diseño sea auditado
  • realice comprobaciones de Blackbox contra su servicio web

vea: enlace

Una persona que no haya participado en la creación de su servicio e infraestructura debe realizar una auditoría. Puede ser otro equipo o departamento de su empresa, o alguna consultoría externa.

Y: use técnicas probadas & componentes en su diseño, lo que significa: no reinvente la rueda (c.f. enlace )

    
respondido por el mdo 17.07.2012 - 12:21
fuente
3

Comprobar que has usado la criptografía correctamente es un poco difícil y requiere experiencia especial. No esperaría que una prueba de penetración de caja negra típica fuera una forma muy efectiva de verificarla, o un buen uso de su dinero. En su lugar, es probable que desee una auditoría de seguridad o una revisión de seguridad, preferiblemente por alguien familiarizado con la criptografía.

Una de las mejores formas de reducir el riesgo es minimizar el grado en que está diseñando su propio método de cifrado. En el lenguaje criptográfico: no enrolle su propio criptográfico . Por ejemplo, puede cifrar los datos mediante GPG (o algo que se cifre en formato OpenPGP).

Consulte Lecciones aprendidas y conceptos erróneos sobre el cifrado y la criptología para obtener más sugerencias. No te olvides de usar la autenticación (por ejemplo, utiliza el cifrado autenticado o encripta y luego autentica). Use una buena administración de claves (por ejemplo, genere una clave criptográfica verdaderamente aleatoria; no genere su clave criptográfica a partir de una frase de contraseña).

    
respondido por el D.W. 17.07.2012 - 20:47
fuente
2

Lea la opción que se encuentra en mi respuesta a '¿Cuál es la diferencia entre una prueba de penetración y ¿Una evaluación de vulnerabilidad? '

Todos los pasos enumerados en esa respuesta son potencialmente relevantes, dependiendo de lo que necesite para salir de ellos. Aquí están las categorías, pero para una explicación completa, visite la otra pregunta.

  • descubrimiento
  • Análisis de vulnerabilidad
  • Evaluación de vulnerabilidad
  • Evaluación de seguridad
  • Prueba de penetración
  • Auditoría de seguridad
  • Revisión de seguridad
respondido por el Rory Alsop 17.07.2012 - 15:14
fuente

Lea otras preguntas en las etiquetas