[Erledigt] Mcrypt - wie mach ich das? - Seite 2

Der_Gerhard · 29.11.2008, 12:32

Wenn 5 einzelne Felder in der DB landen sollen, musst Du wohl 5 Aufrufe machen.

robo47 · 29.11.2008, 13:10

Mal so nebenbei, ich denke ein wichtigerer Punkt ist die Verschlüsselung auf dem Weg:

Schauen wir uns doch mal den ganzen Ablauf an:

User gibt Daten im Browser ein und sendet das Formular ab
-> nutzt du SSL ?
wenn nicht fliegen die Daten jetzt schon unverschlüsselt durchs Netz über diverse Knoten (am Anfang vielleicht durch ein offenes oder schlecht geschütztes WLAN) bis sie an deinem Server ankommen. Ein offizielles SSL-Zertifikat ist nicht billig ! Selbst signierte schrecken den normalen User eher ab!

Dann verarbeitest du die Daten und verschlüsselst sie und speicherst sie ab.

Auf der anderen Seite gibt es wohl ein Backend das dir oder den anderen "Verantwortlichen" zur Verfügung steht, hier das gleiche Spiel, Daten werden dann auf dem Server entschlüsselt und dann zu deinem Browser gesendet, setzt du kein SSL ein, wandern die Daten auch hier unverschlüsselt durchs Netz.

Deshalb solltest du dir überlegen ob die Verschlüsselung nur Serverseitig wirklich ein sicheres gesamt-System macht und ob du solche sensiblen Daten wirklich online stehen lassen willst.

Wenn wirklich jemand auf deinen Webspace kommt (via ftp, Lücke in deinen PHP-Scripten, einer verwendeten Anwendung (forum oder was auch immer), kommt er automatisch auch an deine Datenbankzugangsdaten und an die Informationen wie und mit welchem Schlüssel du verschlüsselst ran, mit den Informationen kann er den Kram selbst entschlüsseln. Das einzige wovor dich die Verschlüsselung der Datenbank schützt ist, dass Datenbankdumps nicht direkt mißbraucht werden können oder wenn jemand NUR an deine Datenbankzugangsdaten kommt, dass er nur Verschlüsselte Daten hat.

Jetzt zum eigentlichen Thema:

Wenn du die Daten eh wieder entschlüsseln musst, kannst du auch alle Bankdaten in ein Array speichern (mit passenden Indizes) das array serialisieren ( PHP: serialize - Manual ) dann diesen serialiserten string verschlüsseln und in der DB dann in einem Feld speichern, dann musst du nur 1 Feld entschlüsseln und de-serialisieren ( PHP: unserialize - Manual ) und hast es dann ein Array nur mit den Bankdaten. Ist zwar kein so schönes DB-Design, aber vereinfacht die Ver und Entschlüsselung

Ich denke du wirst auch als Datentyp für die verschlüsselten Daten in der Datenbank BLOB nutzen müssen.

Und informiere dich vorher auch etwas darüber welchen Algorithmus und so du verwendest.

David · 29.11.2008, 13:29

Es gibt übrigens auch DBM-Systeme, die von sich aus eine Datenbank verschlüsselt anlegen können, zum Beispiel Encrypting a Database
Das macht die Verarbeitung einfacher. Andererseits schützt es Dich nicht davor, dass Dein Skript die Daten - zum Beispiel durch sql injections - "freiwillig" rausrückt. Aber das Problem hast Du in verschiedenen Ausprägungen vermutlich bei all Deinen Versuchen

djscaleo · 29.11.2008, 14:10

Ich habe jetzt durch einen Freund blowfish gefunden.

Der hilft mir gleich bei der Einrichtung...

Aber nochmal vielen Dank, das Ihr mir alle so gut geholfen habt!!!!!!!!!!!!!!!!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Sicheres verschlüsseln mit mcrypt?	t.animal	PHP-Fortgeschrittene	23	05.05.2008 20:23
Rijndael ohne mcrypt	Jacks Rache	PHP-Fortgeschrittene	13	28.04.2008 18:20
mcrypt Probleme auf Produktionsserver	IkeaBoy	PHP-Fortgeschrittene	6	19.11.2007 19:17
[solved] mcrypt frage	DonTermi	PHP Tipps 2007	19	12.09.2007 19:54
mcrypt	notyyy	PHP Tipps 2006	1	12.11.2006 22:23
MCRYPT Problem	solitaer	PHP-Fortgeschrittene	2	17.01.2006 10:58
Entschlüsselung mit mcrypt		PHP Tipps 2005	4	08.04.2005 15:52
publickey und secretkey mit mcrypt bitte um hilfe		PHP Tipps 2005	0	17.01.2005 13:18
mcrypt win32		PHP Tipps 2004-2	0	30.12.2004 14:07
Mcryp Bibliothek lädt nicht		PHP Tipps 2004-2	8	05.12.2004 20:34

29.11.2008, 12:32
Der_Gerhard Erfahrener Benutzer Registriert seit: 08.11.2004 Beiträge: 2.079	Wenn 5 einzelne Felder in der DB landen sollen, musst Du wohl 5 Aufrufe machen. __________________ ******************************** Nein, ich bin nicht die Signatur. Ich putze hier nur. ********************************


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.11.2008, 13:10
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	Mal so nebenbei, ich denke ein wichtigerer Punkt ist die Verschlüsselung auf dem Weg: Schauen wir uns doch mal den ganzen Ablauf an: User gibt Daten im Browser ein und sendet das Formular ab -> nutzt du SSL ? wenn nicht fliegen die Daten jetzt schon unverschlüsselt durchs Netz über diverse Knoten (am Anfang vielleicht durch ein offenes oder schlecht geschütztes WLAN) bis sie an deinem Server ankommen. Ein offizielles SSL-Zertifikat ist nicht billig ! Selbst signierte schrecken den normalen User eher ab! Dann verarbeitest du die Daten und verschlüsselst sie und speicherst sie ab. Auf der anderen Seite gibt es wohl ein Backend das dir oder den anderen "Verantwortlichen" zur Verfügung steht, hier das gleiche Spiel, Daten werden dann auf dem Server entschlüsselt und dann zu deinem Browser gesendet, setzt du kein SSL ein, wandern die Daten auch hier unverschlüsselt durchs Netz. Deshalb solltest du dir überlegen ob die Verschlüsselung nur Serverseitig wirklich ein sicheres gesamt-System macht und ob du solche sensiblen Daten wirklich online stehen lassen willst. Wenn wirklich jemand auf deinen Webspace kommt (via ftp, Lücke in deinen PHP-Scripten, einer verwendeten Anwendung (forum oder was auch immer), kommt er automatisch auch an deine Datenbankzugangsdaten und an die Informationen wie und mit welchem Schlüssel du verschlüsselst ran, mit den Informationen kann er den Kram selbst entschlüsseln. Das einzige wovor dich die Verschlüsselung der Datenbank schützt ist, dass Datenbankdumps nicht direkt mißbraucht werden können oder wenn jemand NUR an deine Datenbankzugangsdaten kommt, dass er nur Verschlüsselte Daten hat. Jetzt zum eigentlichen Thema: Wenn du die Daten eh wieder entschlüsseln musst, kannst du auch alle Bankdaten in ein Array speichern (mit passenden Indizes) das array serialisieren ( PHP: serialize - Manual ) dann diesen serialiserten string verschlüsseln und in der DB dann in einem Feld speichern, dann musst du nur 1 Feld entschlüsseln und de-serialisieren ( PHP: unserialize - Manual ) und hast es dann ein Array nur mit den Bankdaten. Ist zwar kein so schönes DB-Design, aber vereinfacht die Ver und Entschlüsselung Ich denke du wirst auch als Datentyp für die verschlüsselten Daten in der Datenbank BLOB nutzen müssen. Und informiere dich vorher auch etwas darüber welchen Algorithmus und so du verwendest. __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

29.11.2008, 13:29
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Es gibt übrigens auch DBM-Systeme, die von sich aus eine Datenbank verschlüsselt anlegen können, zum Beispiel Encrypting a Database Das macht die Verarbeitung einfacher. Andererseits schützt es Dich nicht davor, dass Dein Skript die Daten - zum Beispiel durch sql injections - "freiwillig" rausrückt. Aber das Problem hast Du in verschiedenen Ausprägungen vermutlich bei all Deinen Versuchen

29.11.2008, 14:10
djscaleo Erfahrener Benutzer Registriert seit: 19.10.2008 Beiträge: 384 PHP-Kenntnisse: Fortgeschritten	Ich habe jetzt durch einen Freund blowfish gefunden. Der hilft mir gleich bei der Einrichtung... Aber nochmal vielen Dank, das Ihr mir alle so gut geholfen habt!!!!!!!!!!!!!!!!