AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

MySQL BLOB encryption

Ein Thema von ExceptionOverflow · begonnen am 25. Nov 2014 · letzter Beitrag vom 26. Nov 2014
Antwort Antwort
ExceptionOverflow
(Gast)

n/a Beiträge
 
#1

MySQL BLOB encryption

  Alt 25. Nov 2014, 15:50
Datenbank: MySQL • Version: 5.6 • Zugriff über: .Net Connector / Direkt
Hallo,

ich habe die Aufgabe bekommen mich zu erkundigen wie wir unsere MySQL Datenbank Daten verschlüsseln könnten. MySQL bietet hier ja schon ein paar schöne Möglichkeiten an ohne, dass man sich selbst großartig die Finger schmutzig machen muss. Es geht aber in meinem Fall nicht darum string Werte zu verschlüsseln sondern die gespeicherten Dateien (BLOB Felder) unserer Kunden. Die MySQL Datenbank verwalte ich, sie wird noch nicht produktiv eingesetzt und ich habe somit noch alle Möglichkeiten der Welt Veränderungen daran vorzunehmen, was eben nötig sein sollte.

Die built-in Verschlüsselungsmöglichkeiten von MySQL habe ich mir schon mal kurz angesehen, doch scheint es mir hier nicht einfach so möglich zu sein ein BLOB Feld zu verschlüsseln außer ich würde meine bytes in einen string basteln .

Der Idealfall unserer Verschlüsselung würde so aussehen (So wäre das eben gewünscht, falls das so zu realisieren ist):
- MySQL / oder auch Client verschlüsseln die Daten
- Daten sind nur mit einem speziellen Schlüssel / Passwort zu entschlüsseln

Da ich mich mit Datenbanken und SQL nicht besonders gut auskenne bin ich hier mal auf euren Rat angewiesen und würde mich sehr über eine kleine Hilfestellung freuen!
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#2

AW: MySQL BLOB encryption

  Alt 25. Nov 2014, 22:48
Mal angenommen du würdest die Blobs auf dem Client mit AES256 verschlüsseln.
AES gibt es mit 128, 192 und 256 Bit - das entspricht einer Schlüssellänge von 8, 12 oder 16 Bytes.
Dann würde ich den Key für AES so berechnen: key := SHA256(password+tabellenname+primaryschluesselfeld);
Somit erhält jeder einzelne Blob einen eigenen Schlüssel.
Ein Angreifer könnte z.B. einen Blob aus einem best. Record kopieren und in einen anderen Record einfügen.
username blob
administratorethert8h88z5w45h8dfb8hsfdh....
guestjerwgw34t43guefguhw5gurefgsdfgsdf...
servicejieg4589gw485gsdufghuwreguherg...
Er weiß zwar nicht was sich hinter den Blobs verbirgt, aber wenn er den Blob vom adninistrator beim guest einfügt könnte das ja ganz interessant werden...
Das Ergebnis wäre allerdings Datenmüll weil dann der berechnete Schlüssel nicht passt.
Eine Änderung des Primärschlüssels darf deine Anwendung natürlich nicht vorsehen; sonst wären die Blobs nicht mehr zu entschlüsseln.
Anstelle des Primärschlüssels kann man auch andere eindeutige Felder in den Schlüssel einbringen.
fork me on Github

Geändert von sx2008 (25. Nov 2014 um 22:54 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#3

AW: MySQL BLOB encryption

  Alt 25. Nov 2014, 23:44
Wieso gibt es einen Direktzugriff auf die Datenbank?
Wer greift da alles direkt zu und wie (inhouse..Internet)?
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
ExceptionOverflow
(Gast)

n/a Beiträge
 
#4

AW: MySQL BLOB encryption

  Alt 26. Nov 2014, 09:03
Wieso gibt es einen Direktzugriff auf die Datenbank?
Wer greift da alles direkt zu und wie (inhouse..Internet)?
Das war für mich als Entwickler der DB gemeint und nicht für den User / Client. Der Client kommuniziert nur mit einem WCF Service und dieser (WCF Service) hat dann den direkten Zugriff zur DB.

@sx2008: Danke dieser Ansatz gefällt mir schon ganz gut, ich denke ich hatte auch einen Denkfehler oder einfach noch nicht genügend Hintergrundwissen.
Meine eigentliche Idee war ja das BLOB Feld 'selbst' zu verschlüsseln beim einfügen über das SQL Statement, das scheint aber ja so (zumindest bei BLOBs) nicht vorgesehen zu sein, auf dem Weg zum Service hätten die Daten auch abgegriffen werden können.

Ich werde wohl die Verschlüsselung auf dem Client vornehmen somit sind die Daten auch auf dem Weg sicher, der Schlüssel sollte natürlich so generiert sein, dass man das nicht selbst rekonstruieren sein, also wie im Vorschlag von sx2008 über das PW und ein paar andere Indikatoren. (Entspricht ja eigentlich auch dem Vorschlag von sx2008, ich wollte nur aufzeigen, dass ich meinen ersten Ansatz [oben Beschrieben] verworfen habe)
  Mit Zitat antworten Zitat
Antwort Antwort

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:17 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz