Avatar billede alpapa Nybegynder
09. marts 2006 - 12:23 Der er 7 kommentarer og
1 løsning

Verifikation & kryptering

Hejsa Eksperter

Har en webapplikation hvorfra en bruger skal indtaste nogle følsomme oplysninger, som så bliver gemt i en database.

Spørgsmål:
1) Hvordan verificerer jeg at en bruger en den han/hun udgiver sig for at være?
2) Hvordan krypterer jeg de data, så de ikke lige kan læses hvis de opsnappes af en 3. part.

Forklaringer, kode eksempler og ikke alt for tekniske links er velkomne...

På forhånd tak
Alpapa
Avatar billede bufferzone Praktikant
09. marts 2006 - 12:47 #1
Lad mig forklare hvordan dette kan gøres.

Du laver en private/public kay infrastruktur selv, f.eks. med pgp eller andet værktøj der understøtter dette. Du laver en privat og en public nøgle til dit eget system og holder den private nøgle meget hemmelig.

Når du har brugere der skal kunne komminikerer, så laver du et nøglesæt til dem, såm du udleverer og sikre dig at den du udleverer til også er den person de udgiver sig for. Hvis du skal have meget stor sikkerhed, så sker udleveringen fysisk og vedkommende viser f.eks. pas når tingene skal udleveres.

Når brugeren skal identificerer sig selv, krypterer brugeren sine logon credintials med sin private nøgle. Disse kan så kun decrypteres med deres offentlige nøgle, og da du er helt sikker på at den offentlige nøgle du har tilhører den person der vil logge på, er vedkommende valideret.

Selve krypteringen sker med din private nøgel og med brugerens private nøgle. Brugeren kan de krypterer med din offentlige nøgle som du jo har udleveret, og du kan dekrypterer med brugerens offentlige nøgle som du jo også har styr på. Der er nogle ting derer vigtige her.

Sikkerheden af at private nøgler ikke afsløres.
Sikkerheden for at den du udleverer nøgler til også er den vedkommende udgiver sig for.
Håndteringen af nøgler i det hele taget
Avatar billede alpapa Nybegynder
09. marts 2006 - 14:04 #2
-> bufferzone
Jeps, din forklaring er go og giver en generel forståelse af problemstillingen, men hvordan programmeres alt dette i C#?
Avatar billede bufferzone Praktikant
09. marts 2006 - 14:25 #3
Her skal der andre på banen, jeg er sikker på at du faktisk kan lave krypterings motoren i C#. GNUpg er open source, har kan du måske hente noget kildekode der kunne hjælpe dig
Avatar billede alpapa Nybegynder
09. marts 2006 - 14:35 #4
Okay - jeg kiggede lige lidt på PGP (9.0), og der får man kun en 30 dages trial...
Tjekker lige GNUpg
Avatar billede bufferzone Praktikant
09. marts 2006 - 20:45 #5
Jeg mener at pgp version 7 eller 8 er gratis
Avatar billede clausc Nybegynder
10. marts 2006 - 12:23 #6
Afhængigt af dit setup kan du evt overveje:
* Udsted certifikater til dine brugere (vha Windows 2003 server CA)
  Overvej evt at købe et rodcertificat fra VeriSign
* Konfigurér dit web til at bruge SSL
* Lad SSL kræve brugercertifikater
Avatar billede tuxic Nybegynder
21. april 2006 - 10:21 #7
Jeg er helt enig med clausc, man skal passe på med at implementere sikkerhed selv. (Det er meget let at lave en fejl, der lader systemet pivåbent. Derudover opnås sikkerhed over tid: Dvs ved at offentligheden tester løsningen, finder fejl, måske ser på koden etc. Derfor er det bedre at bruge en testet løsning fra en kendt og betroet leverandør).
Avatar billede alpapa Nybegynder
19. maj 2006 - 12:02 #8
Takker for hjælpen
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester