IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Cryptage avec clé: faillible!


Sujet :

Langage PHP

  1. 16/12/2009, 00h51 #1
    kfug18
    kfug18 est déconnecté
    Futur Membre du Club
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    9
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2007
    Messages : 9
    Points : 7
    Points
    7
    Par défaut Cryptage avec clé: faillible!
    Bonjour,

    Je vous expose mon problème:
    Je suis récemment amené à enregistrer des données très sensibles sur mysql via un formulaire. J'ai utilisé pour cela une fonction de cryptage avec clé. Les données sont belles et bien cryptées dans la base de donnée et pour les décoder il me faut la clé de décryptage. Et tout le problème vient de là car pour crypter ces données il m'a fallut rentrer la clé auparavant dans le code php, ainsi, si une personne accède sur le serveur il ne lui suffira que de regarder le code source pour connaître la clé de décryptage.
    Je ne peux pas me permettre de générer une clé aléatoirement dans la mesure où je dois crypter une centaine de champs mysql (8 colonnes par champs).
    Je voulais savoir si il y avait une solution pour que la clé n'apparaisse pas dans le code source (vraiment je ne pense pas que cela soit possible mais bon, sait-on jamais...) ou si vous aviez quelque chose à me proposer pour que dans l'hypothèse où une personne ait accès à la totalité de mon serveur elle ne puisse pas décrypter la bdd.

    Merci d'avance!!!
    Répondre avec citation Répondre avec citation   0  0
  2. 16/12/2009, 07h59 #2
    sabotage
    sabotage est déconnecté
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    Je ne suis pas expert dans les différents concepts de chiffrement mais si on ferme une porte a clef, celui qui a la clef peut ouvrir la porte.
    Répondre avec citation Répondre avec citation   0  0
  3. 17/12/2009, 13h33 #3
    popo
    popo est déconnecté
    Expert confirmé
    Avatar de popo
    Homme Profil pro
    Analyste programmeur Delphi / C#
    Inscrit en
    Mars 2005
    Messages
    2 770
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Analyste programmeur Delphi / C#
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2005
    Messages : 2 770
    Points : 5 510
    Points
    5 510
    Par défaut
    Je ne suis pas expert dans les différents concepts de chiffrement mais si on ferme une porte a clef, celui qui a la clef peut ouvrir la porte.
    +1

    Ce que veut dire sabotage par là c'est que tu peux mettre en place tous les contournement possibles et imaginable mais si une personne arrive à acceder à ton serveur, il trouvera forcément de quoi décrypter les données de ta base. Donc au lieu d'essayer d'enlever la clé de cryptage de ton code source, tu devrais te pencher sur la sécurité de ton serveur !
    Répondre avec citation Répondre avec citation   0  0
  4. 17/12/2009, 14h06 #4
    s.n.a.f.u
    s.n.a.f.u est déconnecté
    Membre expert
    Avatar de s.n.a.f.u
    Homme Profil pro
    Développeur Web
    Inscrit en
    Août 2006
    Messages
    2 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Août 2006
    Messages : 2 760
    Points : 3 545
    Points
    3 545
    Par défaut
    Une idée pour freiner les ardeurs des apprentis espions (mais seulement les freiner).

    - enregistrer dans la base une version cryptée oneway (MD5, SHA1, etc...) de ta clef
    - fournir la clef par formulaire.
    - comparer les deux versions cryptées des clefs (un peu comme le mot de passe)
    - si c'est ok, utilisation de la clef du formulaire pour effectuer le reste des cryptages.

    => mais si la personne a également accès à la base, elle pourra changer la valeur de cette clé cryptée à la source.
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Cryptage avec md5sum
    Par Jerepain dans le forum Linux
    Réponses: 4
    Dernier message: 19/11/2007, 21h13
  2. Cryptage avec oracle 9i
    Par simona dans le forum Oracle
    Réponses: 1
    Dernier message: 03/08/2007, 17h20
  3. cryptage avec RSA sous visual C++
    Par ryoussef19 dans le forum VC++ .NET
    Réponses: 17
    Dernier message: 30/05/2007, 10h10
  4. Protection d'un fichier par cryptage avec gpg
    Par Michaël dans le forum Sécurité
    Réponses: 1
    Dernier message: 30/01/2007, 14h10
  5. cryptage avec HSQLDB
    Par chti_juanito dans le forum Autres SGBD
    Réponses: 1
    Dernier message: 03/05/2006, 08h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo