szyfrowanie danych c#

pytanie zadane 12 stycznia 2023 w C# przez DominikPie Użytkownik (770 p.)

Cześć, zainteresowałem się tematem szyfrowania danych i czytam o tym, ale nie wiem jaki sposób wybrać. Metoda RSA wydaje mi się najlepsza, ale nie wiem jakich sposobów używa się praktycznie w pracy programosty c#. Dodam, że robię aplikację w WPF, a dane trzymam w pliku JSON.

1 odpowiedź

odpowiedź 12 stycznia 2023 przez Gynvael Coldwind Nałogowiec (27,530 p.)

OK, właśnie dotknąłeś przysłowiowej bomby, więc dalej postępuj ostrożnie ;)

Jeśli to jest cokolwiek poza prywatnym projektem robionym dla siebie, tj. np. jest komercyjnym projektem robionym w pracy, plz plz plz wynajmijcie konsultanta od kryptografii stosowanej, żeby z Wami usiadł nad projektem i powiedział jakiego rodzaju krypto gdzie i jak użyć. Jeśli nie macie żadnego eksperta od kryptografii stosowanej w zespole, to jest bardzo prawdopodobne, że strzelicie sobie w stopę źle używając kryptografii i stworzycie tylko pozór jakiegokolwiek bezpieczeństwa.

Jeśli natomiast to prywatny projekt do nauki, to kontynuujmy wątek :)

Pytanie pierwsze i zasadnicze: jaki masz "threat model", tj. szyfrując dane jakich konkretnie sytuacji chcesz uniknąć i co chcesz z tymi danymi robić?

Tj. czy te dane leżą na dysku i chcecie uniknąć przypadku, w którym kradzież wyłączonego komputera spowoduje dostęp do danych? A może musicie te dane przesyłać pomiędzy różnymi odbiorcami? Etc. Czym więcej o sposobie użycia tych danych napiszesz, tyle trafniej można dobrać choćby rodzinę algorytmów.

RSA jest raczej archaiczne (mimo, że nadal używane) btw, i, z uwagi na bycie szyfrem asymetrycznym, stosowane tylko w konkretnych przypadkach. Plus samym RSA za dużo danych nie zaszyfrujesz (z definicji m, czyli niezaszyfrowane dane, muszą być mniejsze - licząc w bitach - od n, czyli kinda od klucza). Plus tam jeszcze są problemy z paddingiem. Ogólnie dużo lepiej jest użyć gotowych schematów niż próbować używać poszczególnych algorytmów poskładanych "ręcznie" razem.

komentarz 12 stycznia 2023 przez DominikPie Użytkownik (770 p.)

Uczę się programowania, więc ten projekt to projekt "do szuflady", ale chciałem żeby był bardziej peofesjonalny. Pomyślałem, że przed wpadnięciem danych w niepożądane ręce lepiej uchronić je jakimś szyfrowaniem. Dane to takie typowe imię, nazwisko itp. oraz pare stringów. Teraz mi uświadomiłeś jak bardzo rozległy to jest temat. Może byłbyś w stanie podesłać mi jakieś materiały, które pozwoliłyby mi to opanować chociaż w podstawach?

komentarz 12 stycznia 2023 przez Gynvael Coldwind Nałogowiec (27,530 p.)

To jest całkiem fajna książka, która przechodzi o całej masie różnych tematów kryptograficznych od strony "jak to działa, i czemu to nie działa":
https://ksiegarnia.pwn.pl/Nowoczesna-kryptografia,747540506,p.html

Bardziej ogólnie, tj. bez wiedzy specjalistycznej, staraj się używać zawsze jak najbardziej wysokopoziomowych polecanych bibliotek. Tj. np. jeśli masz do zaszyfrowania dane, które będą przechowywane, to wybierz bibliotekę która specjalizuje się w szyfrowaniu tego typu danych. Zazwyczaj takim minimum jest użycie jakiegoś OpenSSL czy czegoś podobnego, choć C# powinien mieć własne biblioteki do tego (może w System.Security.Cryptography). Takie biblioteki zajmą sie często nie tylko szyfrowanie danych, a także zapewnieniem integralności, a czasem nawet przechowaniem klucza (ostatecznie kryptografia sprowadza się trochę do problemu 'gdzie ukryć klucz' :D), lub problemem wyprowadzenia klucza z podanego przez użytkownika hasła. Przy okazji biblioteka też powinna zarządzać tym gdzie hasło/klucze będą w pamięci i postarać się je usunąć z niej jak tylko przestaną być potrzebne (co nie zawsze ofc jest możliwe).