[PHP] Gegevens beveiligen (encrypt/decrypt)

Ik hoop dat dit het goede subforum is, het gaat namelijk niet zozeer over hoe encryptie/decryptie werkt (dat is al duidelijk).

De situatie:
Ik heb een database met extreem gevoelige informatie (adressenbestand) welke ik wil beveiligen tegen ongewenste mensen. De front-end beveiligen is geen probleem, kwestie van wachtwoord controle en wat andere checks (IP, encrypted cookies, etc.). Echter, de back-end zit ik mee in mijn maag.
Ik heb een MySQL server de gegevens in de tabellen moeten beveiligd worden. Encrypten en decrypten is geen probleem, echter: ik moet ergens een sleutel gaan definieëren. En hier zit het probleem, ik wil deze sleutel absoluut niet opslaan in de PHP file. Er zijn meerdere mensen met toegang tot de server (virtual hosting) en die zouden theoretisch (zeker de beheerders) in de MySQL tabel kunnen loeren.

Nu vroeg ik me af, wat zou de beste protectie voor zoiets zijn? Het is slechts voor een beperkt aantal gebruikers dus tokens en dat soort dingen lijken me wat tever gaan en zijn tevens te duur. Zijn er hier mensen met ervaring in dit soort dingen en hoe dit aan te pakken?

Verwijderd schreef op dinsdag 08 augustus 2006 @ 22:17:
BCC, Windows Server 2003 (daar ging 't hier om) is prima te beveiligen, en een beetje hosting provider die virtual hosting op dat platform biedt zal daar ook wel voor gezorgd hebben.
Idem met IIS 6. Niet minder onveilig dan een virtual hosting site op een shared Linux/Apache bak.

Mee eens, al ben ik wel van mening dat Linux/Apache in ieder geval een drempel is tegen script kiddies.

Blijft over de kans dat eventueel systeembeheerders "in de MySQL tabel kunnen loeren". Dat risico heb je ook op een LAMP virtual hosting systeem, maar een goede hosting provider biedt garanties dat de data in de database nooit gebruikt zullen worden dan voor opslag.
En zelfs wanneer een systeembeheerder data onder ogen komt die 'ie niet had mogen zien zal 'ie zich wel 2x bedenken: misbruik kan 'm zijn baan kosten, en een goede systeembeheerder is 't ook z'n eer te na.

Ik ben zelf systeembeheerder Ik ben dan ook niet bang voor mezelf, maar de bak is (zoals al gezegd dacht ik) ook van een maat van me. Ik zit vooral met de angst om ooit gehacked te worden, want niets is 100% save. Echter, mocht dat gebeuren dan wil ik niet gelijk hoeven te vrezen voor de info, omdat daar nog een extra stap voor nodig is die gewoon moeilijk te kraken is.

Maar de vraag "waar laat ik m'n encryptie-sleutel" is best relevant. In de VS en Canada mogen bv. creditcard nummers binnenkort niet meer unencrypted opgeslagen worden, en aan degene die ze opslaat worden een hoop eisen gesteld: de keys moeten veilig zijn, en om de paar maand gewijzigd worden.
Juist het veilig stellen van die keys is lastig, zeker wanneer je een scripttaal gebruikt als PHP, of een eenvoudig te disassemblen omgeving als Java of .NET.

En dat is met name het probleem, de key veiligstellen. Voor het data invoeren kan ik wel iets bedenken (is eenmalig zowat) maar het ophalen van de data moet voor de gebruikers (5 stuks ofzo) simpel zijn omdat ze geen computerkennis hebben.

De keys ophalen via SSL van een servertje in eigen beheer is dan denk ik de goedkoopste optie (en naar ik begrepen heb geaccepteerd door de VS en Canadese wetgeving).

Dat is een optie, alleen die eigen server komt alles op

Om iets meer details te geven, het gaat om het adresboek van mijn familie. We hebben onderwijl tig adreslijsten her en der en niet altijd beschikbaar. Ik wil die altijd beschikbaar hebben op een eenvoudige manier vanaf zowel thuis, werk als evt. een internet verbinding op een camping bij verlies van de lijst. Laatst liepen we tegen een overlijden aan van een familielid ver weg en ik moest adressen etc. hebben. Ik heb me de blubber gezocht op dat moment, en dat was niet handy. Nu staan de gegevens op een thuisserver die ik wel kan benaderen, maar met vakanties staat die uit (veiligheid) en ik vertrouw meer op Redbus met mijn provider dan op mijn huis/tuin/keuken provider waar de andere server staat. De gegevens moeten zo snel mogelijk en veilig te benaderen zijn.

Kortweg heeft de server 2 beheerders met admin rechten waarvan evt. wachtwoord geraden/gekraakt kan worden en draait er MySQL en PHP script, ik kan niet altijd overzien wat de lekken in evt. scripts zijn en ze ook niet altijd voor zijn. Mijn idee is dat als de data redelijk safe in de MySQL zit dat het dan de mensen die erin komen zoveel tijd kost om het te ontcijferen dat het gewoon teveel tijd kost. Als ik de key in een PHP file of een local file op de server prop is dat makkelijk te achterhalen. Ook het ophalen van de key ergens anders is eigenlijk nogal makkelijk uit broncode te trekken en dus te doen.

Maar eigenlijk is de vraag niet of mijn server wel beveiligd is en hoe veilig, want dat is eigenlijk het minst boeiend, daar vertrouw ik wel op op dit moment. Ik ben echt op zoek naar een manier om de data zo te encrypten dat het niet eenvoudig terug te halen is.

Volgens mij is het nog het meest veilig om de key elke keer via een form (jah, met de nodige beveiliging bij verzending van gegevens) in te voeren als er data opgehaald moet worden. Het is wel een extra code om te onthouden wat het lastiger maakt voor de gebruikers maar het lijkt me vrij safe. Het boeit dan ook niet dat mijn gebruikers de code opschrijven en meenemen in de portomonee. Zolang er geen URL bijstaat en de login/password combi om in te loggen WEL eenvoudig en te onthouden is dan heb je nog steeds safe gegevens bij diefstal van de portomonee oid. En bij diefstal is de key eenvoudig te changen. Met het form ding kan je dan een md5 hash van de huidige key meegeven en in de code de md5 key opslaan en die laten checken bij het opvragen van gegevens. Of zie ik dat verkeerd? Zitten er lekken in mijn gedachtegang of niet?

Alvast thx voor de reacties, het helpt in ieder geval al goed op weg!