Friss hírek
Ajánlott
Életünk része a jelszavak és felhasználónevek kezelése.
Különböző szolgáltatások belépéshez vannak kötve és ilyenkor kénytelenek vagyunk egy felhasználónév–jelszó páros megadására.
Egyre több adatot, jelszót kell megjegyeznünk! Ennek az egyre növekvő igénynek a kielégítésére
fejlesztettünk ki egy (ingyenes) belépéshez kötött szolgáltatást, ahol titkosított formában lehet adatokat tárolni.
Felhasználónév-jelszó páros tárolására a legalkalmasabb de bármilyen más adat is titkosítva tárolható benne.
Ha egy táblázatot képzelünk el, soronként 3x50 karakter hosszú szöveges tartalmat tárolhatunk, összesen 100 sorban.
Nem állíthatjuk, hogy titkosítási módszerünk feltörhetetlen vagy megkerülhetetlen lenne!
A felhasználó saját döntése, hogy a leírtak alapján megbízik e a szolgáltatásban, igénybe veszi e vagy sem.
A titkosítási szolgáltatás igénybe vétele nem feltétele az oldal használatának.
Olyan titkosítás, ami nem törhető fel, nem létezik!
Olyan biztonsági beállítás, biztonsági óvintézkedés ami nem kerülhető meg, nem létezik.
Olyan jelszó, ami nem található ki, nem létezik.
Ne felejtsük el, hogy minden csak idő, elszántság és technológiai felkészültség kérdése.
A lehető legtöbb óvintézkedést betartva igyekszünk minél jobban megnehezíteni adatainak elérését. Így elmondható, hogy valószínűleg az
adatainak tényleges tartalmához való hozzáférés olyan sok időt vesz igénybe, ami már nincs jó arányban adatainak értékével.
Visszafejtésnél lehetőség van Excel fileba exportálni az adatokat. Az excel filet futásidőben állítja elő a program és a szerveren nincs tárolva!
Ez a funkció azért került bevezetésre, hogy az adatainkat a saját otthoni gépünkön is biztonságban, rendszerezve tudhassuk.
Figyelem! Vegyük figyelembe, hogy ha az előállított filet megnyitjuk (nem mentjük) akkor is mentődik a saját gépünkre, és onnan nyílik meg.
Windows operációs rendszer esetében pl. a következő helyre mentődik: C:\Users\Windows Felhasználó\AppData\Local\Temp
Célszerű erről az átmeneti helyről törölni minden alkalommal, ha eltároltuk egy biztonságos helyre. Pl file titkosítással pendrive-ra.
A TrueCrypt az egyik legjobb ingyenes, cross-platform titkosító megoldás ha fájlokat, mappákat, vagy akár teljes meghajtókat szeretnénk biztonságba helyezni.
Az MD5 hash (későbbiekben csak hash) függvény egy széleskörűen használt, 128 bites, egyirányú hash-függvény,
melyet internetes szabványként már régóta használnak biztonsági alkalmazásokban. A lényege, hogy egy olyan 32 karakteres hexadecimális számot
állít elő az adott adatból (hossztól függetlenűl) ami nem visszafejthető.
MD5-ös formában tároljuk a felhasználók jelszavait.
Honnan tudjuk, hogy megfelelő jelszóval jelentkezik be az adott felhasználó ha a hash nem visszafejthető?
A beírt jelszóval elvégezzük a saját logika szerint kitalált műveleteket (pl. karakterek hozzáfűzése és egyebek) majd hash-t képzünk belőle.
Ezt az általunk képzett hash-t hasonlítjuk a tárolt hash-el. Ha megegyezik a két karakterlánc, megfelelő jelszóval jelentkezett be!
Az egyes felhasználókat adatbázisban ún. ID (egyedi szám) azonosítja. Ezzel a számmal köthetők egyéb adatbázis táblákban adatokhoz pl, hozzászólásokhoz, üzenetkehez, stb.
A titkosított adatokhoz a felhasználót azonosító ID sózva és hash-elve van kötve.
Tehát "ránézésre" még azt sem lehet megmondani melyik felhasználónak hány darab titkosított adata van.
A titkosítandó adatokat a titkosítási folyamat előtt semmilyen formában nem tároljuk! A kulcs ismerete nélkül lehetetlen az adatok visszafejtése!
A titkosított adatokat a titkosítási eljárás után varbinary típusú mezőkben, bináris adatként tároljuk.
A kliens és a szerver között kizárólag titkosított kapcsolatot használunk!
A titkosításhoz megbízható harmadik fél által hitelesített tanúsítványt használunk!
A Let's Encrypt SSL egy ingyenes, domain névre hitelesített SSL, ami https:// elérést ad az oldalnak, azaz biztonságos csatornán kommunikál a látogató gépe a szerverrel,
így minimalizálja az adatok "lehallgatásának" esélyét.
A https egy URI-séma, amely biztonságos http kapcsolatot jelöl.
A HTTP és a TCP szintek közé titkosító/autentikáló SSL vagy TLS réteg kerül beiktatásra.
A weboldal nem épül semilyen Open Source (nyílt forráskódú) publikációs platformra avagy tartalomkezelő blog-rendszerre! (Legismeretebb ilyen pl. a WordPress!)
Egy olyan rendszert amit a világon akár 1 millió weboldal elkészítésére használnak sokan ismernek, sokan fejlesztenek hozzá modulokat,
sokan dolgoznak rajta, hogy biztonsági rést találjanak rajta.
A SciFihir.hu teljes egészében (beleértve a cikk és tartalomkezelő rendszerét is) SAJÁT, EGYEDI fejlesztés! Ez növeli a biztonságot!
A titkosításhoz az Advanced Encryption Standard (AES) módszert használjuk. A módszert a U.S. National Institute
of Standards and Technology által meghirdetett versenyre beküldött eljárások közül választották ki 2001-ben.
A kiválasztott módszer a Rijndael titkosításon alapszik, melyet két belga kriptográfiai szakember fejlesztett ki.
Az AES a Rijndael kódolás olyan változata, ahol a blokkméret szigorúan 128 bit, a kulcs pedig 128, 192 vagy 256 bit.
Az AES-t számos nemzetközi szervezet használja, köztük az Amerikai Egyesült Államok jegybankja, kormánya is. Az eljárás a korábbi hivatalos ajánlást, a Data Encryption Standard (DES)-t váltotta le.
Az AES szimmetrikus kulcsú titkosítás, ami azt jelenti, hogy az adatok titkosításához ugyanazt a kulcsot használják, mint az adatok visszafejtéséhez.
Titkosítás során minden ciklus számos lépést foglal magába, ezek között van az a lépés is, ami kulcs alapján módosítja a mátrixot.
A visszaalakítás során ugyanennyi ellentétes ciklust hajtanak végre a kulcs segítségével.
A titkosítandó adatokat a titkosítási folyamat előtt semmilyen formában nem tároljuk! A kulcs ismerete nélkül lehetetlen az adatok visszafejtése!
Az adatokat első körben php openssl_encrypt függvény segítségével AES-256-CBC titkosítással tikosítjuk a megadott, sózott, hahselt kulccsal.
Második körben a megadott kulccsal végzünk általunk kitalált műveleteket és a már titkosított adatokat újból titkosítjuk a módosított kulccsal mysql AES_ENCRYPT függvény segítségével AES-128-ECB titkosítással.
Mit jelent ez?
Tulajdonképp 2x van titkosítva az adat egy olyan eljárással, amit az amerikai kormány is használ.
A kulcs ismerete nélkül az adatok feltörése ha a világ összes számítógépe ezen dolgozna kb. 77,000,000,000,000,000,000,000,000 évig tartana! (1x-es titkosítás esetén)
Első körben php (a weboldal szerver oldalon futó program kódja), második körben pedig az adatbázis végzi a műveletet, így még adatbázis naplózásból sem lehet megmondani, hogy mi lehetett az eredeti adat és kulcs ami titkosításra került.
Véleményünk szerint, ha valaki illetéktelenül hozzáférne a szerveren tárol fileokhoz (amiből kiderül a teljes titkosítási logika) és az adatbázishoz
a titkosításhoz használt kulcs nélkül nem tudná visszafejteni az adatokat. Az egyedüli dolog amit tudna tenni az adatokkal, az adatok törlése lenne.
Az adatbázis üzemeltető (lásd impresszum) időközönként biztonsági mentéseket készít, amiből jó eséllyel visszaállíthatóak lennének a titkosított adatok, adatvesztés esetén.
AES wikipédia
Https wikipédia
AES 256 Mennyire biztonságos? (angol nyelvű)