Servir datos desde una base de datos cifrada a través de una conexión cifrada

Navega tus respuestas
5

Hay datos encriptados en la base de datos (FYI asimétrico). Se debe ver como descifrado en el sitio web. Los datos se pueden enviar al cliente como se cifran para descifrarlos en la computadora del cliente, o los datos se pueden descifrar en el servidor y luego enviarse al cliente en texto sin formato.

Ahora se me ocurre que no quiero que se envíe nada del servidor al cliente como no cifrado. Los datos deben transmitirse como cifrados y descifrados en el lado del cliente.

Si el servidor está enviando datos cifrados, debe enviarse una clave con él. ¿Cómo enviar una clave con los datos cifrados no anula por completo el propósito de cifrarla en primer lugar?

    
pregunta user28067 09.07.2013 - 00:54
fuente

2 respuestas

5

Enviar la clave privada junto con los datos cifrados es lo mismo que no tener ningún cifrado , ya que cualquier persona que supervise el tráfico podría descifrar los datos.

Sin embargo, si el cliente tiene su propio par de claves privada / pública y le dice al servidor su clave pública, entonces el servidor puede cifrar los datos solo para ese cliente: este es el punto de la criptografía asimétrica. La forma en que funciona SSL / TLS es esencialmente hacerlo sobre la marcha: cuando un cliente se conecta a un servidor, trabaja las claves para realizar un cifrado asimétrico.

Mi recomendación personal es que solo uses TLS para proteger al cliente < - > servidor de comunicación en lugar de esencialmente rodar tu propio protocolo.

    
respondido por el Darius Jahandarie 09.07.2013 - 01:11
fuente
1

Derrota el cifrado. Si desea enviar datos cifrados, use SSL para cifrar el transporte.

Si el cliente necesita mostrar datos descifrados y usted envía los datos al cliente cifrado, no puede enviar la clave. Esto solo puede significar que usted tendría algún tipo de código JavaScript que le permita al usuario ingresar la clave privada para descifrarla. En este caso, la clave nunca debe llegar a su servidor, ya que siempre permanece en el cliente. Pero no haría esto porque, como usuario, no ingresaría mi clave privada en ninguna aplicación web, porque eso conlleva el riesgo de ser enviado al servidor.

Entonces, no, no puede transferir datos cifrados al cliente y dejar que el cliente los descifre. Necesitas un concepto diferente.

    
respondido por el http 09.07.2013 - 01:11
fuente

Lea otras preguntas en las etiquetas

¿Agregar una parte no entrópica a una contraseña lo hace menos seguro? ¿Es la fuerza bruta la única forma de descifrar WPA?