ORACLE a moznosti kryptovani dat

Milan Roubal roubm9am na barbora.ms.mff.cuni.cz
Úterý Září 24 00:52:22 CEST 2002


DD,
pokud to kryptovani bude resit oracle, tak tam ta informace
vzdycky musi prijit nekudy nejak nekryptovana a admin potrebuje
pouze urcite znalosti, precte si informaci naprosto vzdy. Druhou moznosti
je data kriptovat uz primo na klientovi, zde se dostavame k tomu samemu
problemu (verite svemu pocitaci? neudrzuje ho nahodou v chodu ten
samy nehodny admin, ktery tam nainstaloval chytac hesel a obrazu? :)
Btw veri firma vam, ze v tom programu neudelate backdoor, kterym ty
sensitive data nebudete cist? :))) Samozrejme jde udelat audit zdrojoveho
kodu,
ale pak musite verit tem kdo ten audit delaji... je to cele jak zacarovany
kruh
a absolutni bezpecnosti se dosahnout neda, muzete se ji jen pokusit
priblizit co mozna nejvice.
  Zdravi
    Milan Roubal
----- Original Message -----
From: "Karel Zak" <zakkr na zf.jcu.cz>
To: <databases na linux.cz>
Sent: Monday, September 23, 2002 2:15 PM
Subject: Re: ORACLE a moznosti kryptovani dat


> On Mon, Sep 23, 2002 at 02:00:17PM +0200, Peto Mastny wrote:
> >
> > > > >  To je snadne, proste ty data systemu poskytujte uz v zabezpecene
> > podobe,
> > > > >  jedine co vam z toho pak nekdo okouka je schema DB.
> > > > >
> > > > >  IMHO jina cesta neni.
> > > >
> > > > Prave sem myslel, jestli nema Oracle nejake svoje funkce, kterymi by
se
> > tot
> > > > dalo provadet na strane serveru.
> > >
> > >  Nepochopil :-) Bud je neco bezpecne nebo neni. Cokoliv mezi tim je
> > >  jen domenka a sen o bezpecnosti. Kde berete jistotu, ze ty data
posilate
> > >  Oracle, kde berete jistotu, ze ten Oracle nema backdoor (napr.
> > >  interbase ho mela). K cemu trigger, kdyz si tam spravce muze dat
> > >  vlastni? Co kdyz uz ani spravce nema ten stroj pod kontolou a nejaky
> > >  suckit vam tam cte systemova volani, nebo libc apod... apod...
> >
> > No to je fakt. Budu o tom jeste muset trosku pomeditovat.
> > Na druhou stranu, by se to nemelo prehanet. Tak schopni lide zde
nastesti
> > nejsou :-)
>
>  Minimalne hackeri takto schopni jsou. Donutit kernel, aby nektera
>  data kopiroval nekam jinam je trivialni. Viz. drivejsi debata na linux
>  listu o suckitu. Taktez modifikovat a prekompilovat libc dokaze i
>  zacatecnik v C.
>
>     Karel
>
> --
>  Karel Zak  <zakkr na zf.jcu.cz>
>  http://home.zf.jcu.cz/~zakkr/
>
>  C, PostgreSQL, PHP, WWW, http://docs.linux.cz, http://mape.jcu.cz



Další informace o konferenci Databases