[PHP] Verschlüsselung: PHP vs. PHP vs. SQL

Dieses Thema im Forum "Webentwicklung" wurde erstellt von powernator, 22. März 2012 .

Schlagworte:
  1. 22. März 2012
    Verschlüsselung: PHP vs. PHP vs. SQL

    Hallo,

    ich beschäftige mich zur Zeit mit dem Thema Verschlüsselung (noch nicht sehr lange). Mir geht es dabei v.a. um die sichere und schnelle Verschlüsselung von Daten (v.a. Texte (von der Länge eines normalen Forenposts) und Bilder).

    Dazu habe ich viele verschiedene Algorithmen gefunden, die meisten davon arbeiten in PHP mit mcrypt (MCRYPT_RIJNDAEL_256 bei vielen), allerdings habe ich auch eine AES-Klasse gefunden - auch via SQL ebenfalls ist eine AES-Verschlüsselung möglich.

    Die Frage ist nun, welche Methode sich Eurer Meinung nach am besten anbietet, bzw. mit welcher ihr schon gute Erfahrungen gemacht habt. Ich denke, dass es dazu Statistiken gibt, die werde ich mir auch ansehen, allerdings ist persönliches Feedback doch etwas anderes
     
  2. 22. März 2012
    AW: Verschlüsselung: PHP vs. PHP vs. SQL

    Ich habe kaum bis keine Erfahrung und habe bisher auch immer nur mit mcrypt gearbeitet. Das (My?)SQL eine solche Möglichkeit nativ bietet wusste ich auch noch nicht.

    Aber weshalb ich eigentlich schreibe: Wenn du die AES-Klasse für PHP nutzen möchtest dann ist der EC-Block Modus so ziemlich das unsicherste was du verwenden kannst. Also entweder CBC/CFB/OFB selbst implementieren oder die kostenpflichtige Version nehmen. (Natürlich nur wenn dir "Sicherheit" wirklich so wichtig ist).
    Im ECB Modus wird der zu verschlüsselnde Klartext lediglich in Blöcke aufgeteilt und die Blöcke alle gleich verschlüsselt (ohne weiteres Chiffrat). Das bedeutet: Gleicher Klartext => Gleiches Chiffrat. Das ist bei den anderen Modis nicht so.
     
  3. 23. März 2012
    AW: Verschlüsselung: PHP vs. PHP vs. SQL

    Ich nutze oft dieses Framework zum hashen. Fahre damit gut und fühle mich recht sicher. Wobei mir murdoc sicher gleich erklären wird, warum ich nicht PHPASS nutzen sollte.

    Ich denke du musst halt sehen, dass das Crypten nicht zu sehr auf die Performance drückt. Und weiterhin musst du halt schauen, welchen Zweck das ganze verfolgt. Weiterhin musst du dich fragen, gibt es weitere Sicherheitslücken? Wenn du nämlich eine Möglichkeit offen hältst, dass jemand an die Salts kommt, hilft auch das verschlüsseln nicht.

    Willst das Forum crypten um gegen die Sicherheitsbehörden abgesichert zu sein? Dann lieber gleich die Festplatte crypten. Dann hast du halt den Arbeitsaufwand bei jedem Leseprozess, jedoch sollten die Datenmengen klein genug sein um eine annehmbare Performance zu erzielen .. aber ist nur so eine Idee .. bisher noch nicht mit beschäftigt.
     
  4. 23. März 2012
    AW: Verschlüsselung: PHP vs. PHP vs. SQL

    Mhm ok, momentan arbeite ich mit einem Script und MCRYPT_RIJNDAEL_256, werde dann wohl erstmal dabei bleiben

    Speichere die Salts ebenfalls verschlüsselt mit in der Datenbank ab momentan.

    Ja, ist einer der Gründe, auch wenn generell hinter dem Projekt keine kriminelle Absicht steht, möchte ich doch abgesichert sein. Habe aber kein groß genuges Budget und v.a. nicht das Fachwissen, um selbst einen Root zu mieten und dann zu verschlüsseln. Plane schon, zu einem off shore-Hoster zu gehen, außer bei cinipac hab ich keinen gefunden, der explizit angibt, dass die Server verschlüsselt sind. Und selbst dann hat ja der Betreiber noch die Möglichkeit, das ganze einzusehen - oder täusche ich mich da (solange ich nur Webspace auf einem verschlüsselten Server habe)?
     
  5. 23. März 2012
    AW: Verschlüsselung: PHP vs. PHP vs. SQL

    Solang du nicht die absolute Kontrolle über den (Mother-)Host hast (also den Root) und dazwischen jemand sitzt, kann der theoretisch alles machen.

    Musst ja nicht gleich Off-Shore gehen. Wie schaut es aus mit Niederlande oder den USA? Kenne dein Projekt zu wenig um wirklich helfen zu können. Wenn es sich aber um ein Forum handelt, wo nicht jeder rein kommt (Anmeldung zum schreiben _und_ lesen erforderlich), wäre ein extra Root (nur) zum Crypten überflüssig.

    Der beste Schutz den du haben kannst ist die Anonymität im Netz. IP nicht speichern hilft schon einiges. Und solange du nicht zu "public" gehst, sollte alles gut laufen. Aber geht ja jetzt am Thema vorbei
     
  6. 23. März 2012
    AW: Verschlüsselung: PHP vs. PHP vs. SQL

    Solange ich selbst nur ein Webhosting-Paket habe kann ich ja das IP-Loggen des Servers nicht deaktivieren, oder?
     
  7. 24. März 2012
    AW: Verschlüsselung: PHP vs. PHP vs. SQL

    Korrekt. Es gibt aber auch Hoster, die versprechen, dass sie nichts loggen. Inwieweit die das dann wirklich durchziehen kann man wohl nur erahnen.
     
  8. 26. März 2012
    AW: Verschlüsselung: PHP vs. PHP vs. SQL

    Nur in Ausnahmen. Aber Mar hat völlig recht.

    Du kannst ja mal wirklich bei deinem Hoster anfragen, ob der das ausstellen kann. Ansonsten könntest du auch über einen VServer einen Proxy aufbauen, der deine Nutzer schützt. Aber dann kannst dir ja auch gleich wieder einen Server holen.
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.