Какая СУБД поддерживает шифрование?

[Сергей Тарасов]

Какая СУБД поддерживает шифрование?

Суть вопроса: какая СУБД поддерживает шифрование файлов с базой? Т.е. помимо стандартной системы аутентификации сервера, сами файлы БД должны быть защищены ключом, который передается в соединении. Иными словами, человек, получивший физический доступ к файлам, не должен иметь возможности просмотреть/изменить данные.

Заранее спасибо!

 

[MiksIr]

Думается в этом мало смысла именно на уровне СУБД. Лучше бы решать это прозрачно на уровне файловой системы.

 

[Сергей Тарасов]

Автор оригинала: MiksIr
Думается в этом мало смысла именно на уровне СУБД.

Почему? Хотелось бы упрятать все это в соединение.

Автор оригинала: MiksIr
Лучше бы решать это прозрачно на уровне файловой системы.

М.б. Но: как?
Хочется иметь шифрованные данные, но иметь высокоуровневый доступ))

 

[Alexandre]

Какая СУБД поддерживает шифрование?

MsSQL поддерживал шифрование данных на уровне файлов,
можно привязать файл данных к серверу и если его спереть то на другом сервере его уже не запустишь Опции уже не помню.

думаю, что все эти фишки реализованны и в Оракле

в мускуле есть SSL соединение + храни данные в зашифрованном виде. Используй симметричные алгоритмы типа AES - они быстрее.
если затронут секурный вопрос - то актуален вопрос хранения ключа.

 

[Сергей Тарасов]

Автор оригинала: Alexandre
храни данные в зашифрованном виде.

Зашифровать данные по алгоритму(DES, AES, ГОСТ) не проблема. Хотелось бы, чтобы и стуктура данных была защищена, т.е. было невозможно добавить запись в таблицу, к примеру... )

 

[Alexandre]

понятно
если так остро стоит проблема с сохранностью данных
то либо Оракле, что догроговато
либо я бы уговорил директора инвестировать в разработку (не менее 1 чел месяц) вернее доработку и написания расширения для MyISAM, те создан на базе MyISAM новый тип таблиц : MyCryptISAM. Думаю -это не так сложно. Для инноДБ чуть-чуть посложнее.

хотя я часто бываю оптимистом. жизнь как правило на много сложнее.

 

[Сергей Тарасов]

Автор оригинала: Alexandre
понятно
если так остро стоит проблема с сохранностью данных
то либо Оракле, что догроговато
либо я бы уговорил директора инвестировать в разработку (не менее 1 чел месяц) вернее доработку и написания расширения для MyISAM, те создан на базе MyISAM новый тип таблиц : MyCryptISAM. Думаю -это не так сложно. Для инноДБ чуть-чуть посложнее.

хотя я часто бываю оптимистом. жизнь как правило на много сложнее.

Ну в принципе, Оракл для этой задачи и не нужен. Ты правильно сказал, что такая фитча есть в MS SQL Server. В данном случае будет Винда, но вот если Unix ?
1 чел месяц не сделает MyCryptISAM, во всяком случае, это не будет stable-production решение)))))

Вообще, странно, что такая мысль возникает только у меня)))

 

[dr-sm]

в 2008'ом есть SQL Server'e
http://msdn.microsoft.com/en-us/library/cc278098.aspx

 

[Alexandre]

1 чел месяц не сделает MyCryptISAM, во всяком случае, это не будет решение)))))

конечно stable-production решения не будет,
но для твоего проекта данного решения будет вполне достаточно.

начиная с 5-го мускуля все типы БД подгружаются как плагины, по этому подгрузить новый плагин не составит трудности. Все расписано в документации.

разбираешься с системой ввода/вывода в плагине MyISAM и накладываешь на операции ввода/вывод симметричное блочное шифрование.
ключ задаешь в конфиге, наверняка такая фича, как найти задавать конфиг переменные ест в мускуле, на подобие как это реализовано в пхп.

хотя если задавать ключ в конфиге, то грамотный хакер полезет в конфиг и ...
перебрав кучу алгоритмов найдет тот который нужен %)

нужно придумать, чтоб ключ был как-то привязан к машине - например серийный номер хард-диска или что-то в этом роде.

жаль что у меня обязательства - доделать проект
а то я бы на каникулах поразвлекался бы мог бы и реализовать

-~{}~ 26.12.08 01:17:

Вообще, странно, что такая мысль возникает только у меня)))

дело в том что мускуль создавался не как супер-секуррная система, по этому на первом месте были требования по быстродействию. А шифрование - оно все-таки отнимает процессорные ресурсы.

 

[Сергей Тарасов]

Автор оригинала: Alexandre
конечно stable-production решения не будет,
но для твоего проекта данного решения будет вполне достаточно.

начиная с 5-го мускуля все типы БД подгружаются как плагины, по этому подгрузить новый плагин не составит трудности. Все расписано в документации.

разбираешься с системой ввода/вывода в плагине MyISAM и накладываешь на операции ввода/вывод симметричное блочное шифрование.
ключ задаешь в конфиге, наверняка такая фича, как найти задавать конфиг переменные ест в мускуле, на подобие как это реализовано в пхп.

хотя если задавать ключ в конфиге, то грамотный хакер полезет в конфиг и ...
перебрав кучу алгоритмов найдет тот который нужен %)

нужно придумать, чтоб ключ был как-то привязан к машине - например серийный номер хард-диска или что-то в этом роде.

жаль что у меня обязательства - доделать проект
а то я бы на каникулах поразвлекался бы мог бы и реализовать

-~{}~ 26.12.08 01:17:


дело в том что мускуль создавался не как супер-секуррная система, по этому на первом месте были требования по быстродействию. А шифрование - оно все-таки отнимает процессорные ресурсы.

Ну как сказать не составит трудности... Непонятно, что только делать со всякими чеками, репейерами и прочими утилитами)))
Что-то не верится мне, что все это на деле так просто)))

Ну вопрос не про мускул на самом деле, а про "какие СУБД... ?". Разобрались, что MSSQL, насчет Оракла никто точно не сказал, но скорее всего там тоже есть, иначе откуда MS слизала?..

А как же прочие PostgreSQl, Firebird, ...


Может проще будет реализовать это в SQL Lite ?

 

[fixxxer]

а к чему такие сложности.
берем /var/db/mysql, кладем на какой нить geli, при желании можно монтировать-размонтировать on demand поковыряв mysql proxy

тока вопрос где хранить ключи.

 

[Сергей Тарасов]

Костя! Идея отличная!

Хотя м.б. встроить в sql Lite ?