Come proteggere "Data at Rest" solo consentendo all'API di servizio di accedervi da un'applicazione mobile

0

Come faccio a proteggere i dati a riposo da accessi non autorizzati, consentendo comunque alla mia applicazione di accedere ai dati utilizzando l'autenticazione utente su HTTPS?

Il mio scenario è il seguente:

  1. Accedi all'applicazione usando ID e password (la password viene cancellata usando MD5)

  2. Dopo l'autenticazione dal server, l'utente carica i dati sul server

  3. L'utente può recuperare i dati utilizzando l'applicazione

  4. Tutti i trasferimenti di dati sono basati su HTTPS

  5. I dati sul server non sono crittografati

Le mie domande sono:

  1. Se crittografo i dati nel percorso sul server, come posso recuperarli utilizzando la mia applicazione client?

  2. Esiste un algoritmo che consente di crittografare i dati e di decifrare e recuperare i dati crittografati solo quando la mia applicazione sta tentando di recuperare i dati?

  3. Come faccio a mantenere i dati al sicuro da eventuali pirati se qualcuno accede al server?

posta Ravikiran 16.06.2014 - 14:53
fonte

1 risposta

0

Potresti:

  1. Cifra / decrittografa i dati nel client, quindi il server sta semplicemente memorizzando un blob opaco.
  2. Chiedere al client di trasmettere una chiave che il server utilizza per la crittografia / decrittografia.

Qualsiasi algoritmo di crittografia fornisce ciò che desideri, ciò che conta è la gestione delle chiavi. Inoltre, se il tuo server è compromesso, la crittografia a riposo protegge solo dagli avversari che non sono in grado di manomettere il tuo ambiente operativo. Se possono modificare il server (che in genere sono in grado di fare, eccetto l'accesso ai backup, ecc.) Possono acquisire i dati in entrata e in uscita. In tal caso, sarà utile solo la crittografia lato client.

E seriamente, non usare md5 per le password. Se stai utilizzando MD5 per gli hash delle password, hai già messo a rischio i dati degli utenti. Trapelate, non salate, MD5 sono fondamentalmente buone come testo normale in questi giorni. scrypt e bcrypt sono considerati lo stato dell'arte nella memorizzazione delle hash delle password, ma anche SHA-2 salato ti comprerà un lotto rispetto a MD5.

    
risposta data 16.06.2014 - 18:00
fonte

Leggi altre domande sui tag