ORACLE a moznosti kryptovani dat
Milan Roubal
roubm9am na barbora.ms.mff.cuni.cz
Úterý Září 24 00:52:22 CEST 2002
DD,
pokud to kryptovani bude resit oracle, tak tam ta informace
vzdycky musi prijit nekudy nejak nekryptovana a admin potrebuje
pouze urcite znalosti, precte si informaci naprosto vzdy. Druhou moznosti
je data kriptovat uz primo na klientovi, zde se dostavame k tomu samemu
problemu (verite svemu pocitaci? neudrzuje ho nahodou v chodu ten
samy nehodny admin, ktery tam nainstaloval chytac hesel a obrazu? :)
Btw veri firma vam, ze v tom programu neudelate backdoor, kterym ty
sensitive data nebudete cist? :))) Samozrejme jde udelat audit zdrojoveho
kodu,
ale pak musite verit tem kdo ten audit delaji... je to cele jak zacarovany
kruh
a absolutni bezpecnosti se dosahnout neda, muzete se ji jen pokusit
priblizit co mozna nejvice.
Zdravi
Milan Roubal
----- Original Message -----
From: "Karel Zak" <zakkr na zf.jcu.cz>
To: <databases na linux.cz>
Sent: Monday, September 23, 2002 2:15 PM
Subject: Re: ORACLE a moznosti kryptovani dat
> On Mon, Sep 23, 2002 at 02:00:17PM +0200, Peto Mastny wrote:
> >
> > > > > To je snadne, proste ty data systemu poskytujte uz v zabezpecene
> > podobe,
> > > > > jedine co vam z toho pak nekdo okouka je schema DB.
> > > > >
> > > > > IMHO jina cesta neni.
> > > >
> > > > Prave sem myslel, jestli nema Oracle nejake svoje funkce, kterymi by
se
> > tot
> > > > dalo provadet na strane serveru.
> > >
> > > Nepochopil :-) Bud je neco bezpecne nebo neni. Cokoliv mezi tim je
> > > jen domenka a sen o bezpecnosti. Kde berete jistotu, ze ty data
posilate
> > > Oracle, kde berete jistotu, ze ten Oracle nema backdoor (napr.
> > > interbase ho mela). K cemu trigger, kdyz si tam spravce muze dat
> > > vlastni? Co kdyz uz ani spravce nema ten stroj pod kontolou a nejaky
> > > suckit vam tam cte systemova volani, nebo libc apod... apod...
> >
> > No to je fakt. Budu o tom jeste muset trosku pomeditovat.
> > Na druhou stranu, by se to nemelo prehanet. Tak schopni lide zde
nastesti
> > nejsou :-)
>
> Minimalne hackeri takto schopni jsou. Donutit kernel, aby nektera
> data kopiroval nekam jinam je trivialni. Viz. drivejsi debata na linux
> listu o suckitu. Taktez modifikovat a prekompilovat libc dokaze i
> zacatecnik v C.
>
> Karel
>
> --
> Karel Zak <zakkr na zf.jcu.cz>
> http://home.zf.jcu.cz/~zakkr/
>
> C, PostgreSQL, PHP, WWW, http://docs.linux.cz, http://mape.jcu.cz
Další informace o konferenci Databases