Verschlüsselte Spalten mit Entity Framework

Jemand herausgefunden, eine gute Möglichkeit zu ziehen verschlüsselte Werte aus der Datenbank über entity framework 4?

Ich habe eine MySql-db mit einigen Spalten verschlüsselt mit des_encrypt und müssen in der Lage sein, diese Werte so einfach wie möglich, und natürlich auch, zu aktualisieren und fügen Sie Sie.

Ich denke, es ist ziemlich seltsam, es nicht zu sein scheinen in integrierten Unterstützung für dieses in EF. Auch unsere eigenen integrierten ORM-system haben die Unterstützung für diese. Wir fügen Sie einfach ein Kommentar, "verschlüsselt" wird für jedes Feld, das ist verschlüsselt und das ORM-tool hinzufügen des_decrypt(Spalte) und des_encrypt(Spalte) in den Abfragen.

Jemand?

InformationsquelleAutor Andreas | 2010-07-21

c#encryption entity entity-framework mysql

2

IMO sollten Sie verschlüsseln vor setzen es in die Datenbank und speichern Sie es als Binär-Daten. Dann können Sie leicht die byte[] mit EF.

EDIT: Was ist, wenn Sie eine gespeicherte Prozedur, alles zu tun, die des_encrypt und des_decrypt sowie die selects/inserts/deletes für Sie. Dann EF wird noch das mapping für Sie?
- Scheint wie eine gute Lösung, und ich würde wahrscheinlich gehen mit, dass, wenn ich habe eine neue Datenbank. Die Sache ist, die Datenbank ist ziemlich groß und wird von den Tonnen von Projekten, so wäre es eine riesige Arbeit zu gehen, über den code, und ändern Sie diese.
- Siehe mein edit oben.
- Danke für die Anregung. Diese sah aus wie eine wirklich gute Idee und ich versuchte es. leider, wenn ich im Stande sein will zu tun, LINQ-Abfragen auf alle meine entschlüsselten Daten aus der Tabelle, die gespeicherte Prozedur muss zuerst ausgeführt werden. Dies dauert ewig, da es 250 000+ Zeilen mit 5 Spalten jeweils entschlüsselt werden. So, dies zu tun: Kontext.AllMembers().Where(x=>x.Benutzerkennung == 1) dauert zu lange. Sicher, dass ich das tun könnte, SP, nimmt ein argument der Benutzerkennung, aber was ist, wenn ich suchen will, z.B. Vorname mit LINQ? Vielleicht im etwas wichtiges fehlt hier...
- Von dem, was ich verstehe ... MemberId verschlüsselt ist? Sollten Sie nicht nur entschlüsseln müssen Spalten, die verschlüsselt sind (wie ein Passwort... obwohl, verwenden Sie ein one-way-hash)? Wenn MemberId ist nicht verschlüsselt, Sie brauchen nicht zu entschlüsseln, es zu tun Sie 'WÄHLEN'. Ist jemand anderes, die diese Tabelle verwenden? Warum gehst du nicht entschlüsseln es und erstellen Sie eine neue Tabelle für die nicht-verschlüsselten Daten?
- Nein, alles, ABER die Benutzerkennung verschlüsselt ist (es ist der primary key). Wir entschlüsseln Dinge wie Sozialversicherungsnummer, Namen und Adressen, da es vertrauliche Daten ist für uns. Das Passwort wird gehasht, also kein problem. Diese Tabelle wird verwendet, eine Menge, aber wir wollen wirklich nicht eine andere version davon, die ist entschlüsselt, denn das würde die Arbeit gegen thea sehr Idee dass die Dinge verschlüsselt. Sorry für meine späte Antwort, Urlaub... 🙂
InformationsquelleAutor TheCloudlessSky
14

Dies ist eine Implementierung Beispiel der Antwort vorgeschlagen von @TheCloudlessSky. Ich dachte, es wird helfen, jemand, der sich fragte, wie man über die Umsetzung.

War ich mit einer vorhandenen Datenbank arbeiten, so dass die grundlegenden model-Klasse automatisch erzeugt für mich.

Automatisch generierte User.cs:
```
namespace MyApp.Model 
{
    public partial class User
    {
        public int UserId { get; set; }
        public byte[] SSN { get; set; }
        ...
    }
}
```
Habe ich meinen eigenen User.cs. (Hinweis: es ist in dem gleichen Namensraum wie die automatisch generierten Benutzer.cs und es gab keine compiler-Fehler, da die automatisch generierten Benutzer.cs wurde erklärt wie partielle Klasse! Auch meine eigenen User.cs kann nicht im gleichen Ordner wie die automatisch generierten Benutzer.cs, weil der Dateiname Konflikt!)
```
namespace MyApp.Model 
{
    public partial class User
    {
        public string DecryptedSSN { get; set; }
        ...
    }
}
```
Nun, wenn ich waren auf das abrufen von Benutzer-von meinem DbContext, ich werde sehen, alle Eigenschaften definiert, die im automatisch generierten Klasse, als auch diejenigen definiert, die in meiner erweiterten Klasse.

Hier ist eine Umsetzung meines UserRepository.cs:
```
namespace MyApp.Model
{
    public interface IUserRepository 
    {
        User Get(int userId);
        ...
    }

    public class UserRepository : IUserRepository
    {
        public User GetById(int userId)
        {
            using (var dataContext = MyDbContext())
            {
                var user = dataContext.Users.Find(u => u.UserId == userId);
                var decryptedSSNResult = dataContext.Decrypt(u.SSN);
                user.DecryptedSSN = decryptedSSNResult.FirstOrDefault();
                return user;
            }
        }
    }
}
```
Jetzt können Sie sich Fragen, wie/Woher bekomme ich MyDbContext.Decrypt() aus?

Diese ist NICHT automatisch für Sie generiert. Jedoch können Sie importieren Sie diese gespeicherte Prozedur in Ihrem auto-generierte Modell.Kontext.cs-Datei. (Dieser Prozess ist sehr gut dokumentiert, die in der offiziellen EntityFramework Artikel: gewusst Wie: Importieren einer Gespeicherten Prozedur (Entity Data Model-Tools) an http://msdn.microsoft.com/en-us/library/vstudio/bb896231(v=vs. 100).aspx)

Nur für den Fall Sie nicht wissen, was Ende das Ergebnis Aussehen soll, hier ist, was wurde automatisch generiert bei meinem Modell.Kontext.cs:
```
namespace MyApp.Model
{
    //using statements found here

    public partial class MyDbContext : DbContext
    {
        public MyDbContext()
            : base("name = MyDbContext")
        { }

        public virtual ObjectResult<string> Decrypt(byte[] encryptedData)
        {
            var encryptedDataParameter = encryptedData != null ? 
                            new ObjectParameter("encryptedData", encryptedData) :
                            new ObjectParameter("encryptedData", typeof(byte[]));

            return ((IObjectContextAdapter)this).ObjectContext.ExecuteFunction<string>("Decrypt", encryptedDataParameter);
        }

        //similar function for Encrypt 
    }
}
```
Dies ist, wie mein Entschlüsseln der Gespeicherten Prozedur sieht wie folgt aus:
```
CREATE PROCEDURE decrypt
    @encryptedData VARBINARY(8000)
AS
BEGIN
    OPEN SYMMETRIC KEY xxx_Key DECRYPTION BY CERTIFICATE xxx_Cert;

    SELECT CAST(DECRYPTIONBYKEY(@encryptedData) AS NVARCHAR(MAX)) AS data;

    CLOSE ALL SYMMETRIC KEYS;
END;
GO
```
Performance-Überlegungen

Nun, ich habe Ihnen gezeigt, eine Umsetzung der Antwort von @TheCloudlessSky, ich mag, um schnell zu markieren Sie einige performance-bezogenen Punkte.

1) Jedes mal, wenn das abrufen eines user-Objekts gibt es 2 Ausflüge gemacht, um die Datenbank anstelle von 1. Erste Reise für das abrufen von Objekt; zweite Reise zur Entschlüsselung der SSN. Dies kann Leistungsprobleme verursachen, wenn Sie nicht vorsichtig sind.

Empfehlung: KEINE automatische entschlüsseln von verschlüsselten Felder! In meinem Beispiel oben gezeigt, entschlüsselt SSN, wenn ich war das abrufen von Benutzer-Objekt. Ich wusste, dass war nur zur demonstration! Fragen Sie sich, ob Sie wirklich brauchen, SSN jedes einzelne mal, wenn Benutzer abgerufen werden. Wenn möglich, wählen Sie faul Entschlüsselung über gespannt Entschlüsselung!

2) ich habe Zwar nicht bewiesen, dass diese, jedes einzelne mal, wenn Sie erstellen/aktualisieren eines Benutzer-Objekt gibt, wird es auch 2 Ausflüge gemacht, um die Datenbank. Erste Reise für die Verschlüsselung von SSN; zweite Reise für Objekt einfügen. Wieder dies kann Leistungsprobleme verursachen, wenn Sie nicht vorsichtig sind.

Empfehlung: das Bewusstsein über diese Leistung Treffer aber nicht delegieren, das verschlüsseln und speichern der SSN als eine andere Methode. Halten Sie das alles in einer operation sonst können Sie vergessen, es zu speichern insgesamt. Also die Empfehlung für die Erstellung/Aktualisierung ist das Gegenteil von abrufen: wählen Sie begierig Verschlüsselung über lazy-Verschlüsselung!
- Ich gebe dir ein vote für die Mühe. Aber ich bin nicht einverstanden mit Ihrem Ansatz ein bisschen. Ich will nicht, dass meine Datenbank zu entschlüsseln Werte. Ich kann alle diese Informationen in meiner Anwendung und nicht zwei trips zur Datenbank.
- Ich Stimme mit Ihnen auf den Leistungseinbruch, verbunden mit mehreren Reisen nach Datenbank. Im Allgemeinen schreiben gewidmet gespeicherten Prozeduren für die CUD-Operationen und-Verknüpfung mit dem Modell über das entity framework ist effizienter als mit Prozeduren wie verschlüsseln/entschlüsseln. Aber ich wollte zeigen, ein Verfahren für eine Verschlüsselung/Entschlüsselung mit Schlüsseln, die von der Datenbank verwaltet, anstatt die Anwendung.
- Ich reiche einen link nach, wie die Verbindung CUD gespeicherten Prozeduren, die CUD-Operationen über das entity framework in Fall, dass jemand neugierig ist, wie dies zu erreichen: msdn.microsoft.com/en-us/data/jj593489. Ich weiß, links sind in der Regel verpönt, aber seit dieser ist auf der MSDN-Entity-Framework-Dokumentation der Baustelle, ich hoffe, dass die Menschen nicht dagegen.
- Super informativ, hilfreich, ausführlich und nützlich, einschließlich der links in der Antwort und Kommentar! Ich danke Ihnen sehr!
InformationsquelleAutor Parth Shah
2

Können Sie die AES-Verschlüsselung (2-Weg-Verschlüsselung). Wenn Sie brauchen, um die Abfrage der db, die Sie senden können die verschlüsselte Zeichenfolge, darstellen können, ist das Ziel Wert.

Können Sie erstellen, die eine Erweiterung zum Entschlüsseln der Einheit.
```
MyTableEntitiesSet.Where(c=>c.MyField == MySeekValue.Encrypt()).First().Decrypt();
```
Dies kann eine Datenbank-Abfrage.

Bewusst sein, die Größe der Daten, verschlüsselte Daten größer ist...
- Alte Frage und Antwort, sondern nur bewusst sein, dass, wenn Sie versuchen, dies zu tun, wird es nur funktionieren, wenn Sie eine Feste Init-Vektor, was nicht empfehlenswert ist, da es möglicherweise einem Angreifer ermöglichen, zu lernen, über die Daten. Ein zufälliger IV mit jeder Verschlüsselung verwendet werden soll, was bedeuten würde, würden Sie einen anderen Wert jedes mal, wenn Sie etwas verschlüsseln.
InformationsquelleAutor EliorCohen
2

Könnten Sie auch DIY/roll-eigene Verschlüsselung, aber alle security-Experte wird Ihnen sagen,nie, nie, niemals, zu tun. Der schwierigste Teil der Daten Sicherheit und Verschlüsselung ist eigentlich nicht "AES" oder-Algorithmus. Es ist das Schlüssel-management. Früher oder später triffst du auf das Tier und es ist Weg härter.

Glücklicherweise gibt es ein Werkzeug namens Crypteron CipherDb, die das übernimmt. In der Tat geht es über entity framework-Verschlüsselung, auch die automatische tamper protection, secure key storage, secure key distribution, key-roll-overs, key caching, access-control-Listen und mehr. Es ist ein Kostenlose community edition und es dauert nur ein paar Minuten hinzufügen, um Ihre app.

Bei der Integration mit Entity Framework, die Sie gerade kommentieren das Datenmodell mit [Secure] Namen oder eine Eigenschaft auf etwas wie Secure_SocialSecurityNumber (die Secure_ ist der wichtigste Teil) und CipherDb kümmert sich um den rest.

Beispielsweise Ihre Daten Modell wäre:
```
public class Patient
{
    public int Id {get; set;}

    [Secure]
    public string FullName {get; set;}

    [Secure]
    public string SocialSecurityNumber {get; set;}
}
```
Und Ihr web.config wäre
```
<configuration>
  <configSections>
    <section 
        name="crypteronConfig" 
        type="Crypteron.CrypteronConfig, CipherCore, Version=2017, Culture=neutral, PublicKeyToken=e0287981ec67bb47" 
        requirePermission="false" />
  </configSections>

  <crypteronConfig>
    <myCrypteronAccount appSecret="Get_this_from_http://my.crypteron.com" />
  </crypteronConfig>
</configuration>
```
Es wird empfohlen, sichern Sie sich Ihre web.config ODER stecken Sie den Crypteron API-Schlüssel (AppSecret) programmgesteuert (Dokumentation)

Finden Sie die Beispiel-apps auf GitHub an https://github.com/crypteron/crypteron-sample-apps. .

Durch die Art und Weise, die free edition profitiert von den kommerziellen angeboten, also zusätzlich zu den oben genannten, können Sie auch sicher, streams, Dateien, Objekte, message-queues, NoSQL-Datenbanken usw., die alle aus einem Ort.

Haftungsausschluss: ich arbeite dort, und wir haben eine Kostenlose community edition, die jeder benutzen kann (und wir don ' T machen kein Geld aus). Wenn Sie denken, dass es cool ist, sagen Sie uns, erzählen Sie Ihren Freunden. Wenn Sie ein budget haben, erhalten Sie eine kommerzielle Lizenz. Es hilft uns, die bieten die Kostenlose Ausgabe an alle 🙂

InformationsquelleAutor DeepSpace101

Für diejenigen von Euch, die man beim Googeln nach dieser Frage und der Suche nach einem einfachen Weg, um zu entschlüsseln, die eine einzelne Spalte/Zeile (nicht die gesamte Tabelle/Klasse), mithilfe der symmetrischen Verschlüsselung und EF, Sie können dies tun, eine von zwei (einfache) Wege.

Ersten Art; erstellen Sie eine gespeicherte Prozedur, die Ihre Entschlüsselung:

CREATE PROCEDURE [dbo].[Decrypt_Credential]
@User_Name varchar(50) = NULL
AS
BEGIN
OPEN SYMMETRIC KEY My_Key_01 DECRYPTION BY CERTIFICATE MyCertName;

SELECT CONVERT(varchar, DecryptByKey(Encrypted_Password)) FROM Application_Credentials WHERE User_Name = @User_Name;

CLOSE SYMMETRIC KEY My_Key_01; 
END;

... dann rufen Sie die gespeicherte Prozedur direkt in den code abrufen das Ergebnis als string:

using (var context = new YourDatabaseContext())
        {
            var result = context.Database.SqlQuery<string>("Decrypt_Credential @user", new SqlParameter("user", TheUserName)).FirstOrDefault();
        }

Den zweiten Weg, können Sie dies tun, ist über eine Datenbank-Transaktion, die im wesentlichen die gleiche wie die gespeicherte Prozedur. Hinweis: ich bin mir voll bewusst dieses Beispiel ist nicht sql-injection-Schutz-konform, ich hatte einige Probleme mit parametrisierten Abfragen, also dies war das Beispiel, ich habe zu arbeiten. Sie möchten der Verwendung von parametrisierten Abfragen wenn Sie diesen Weg gehen;

 using (var context = new YourDatabaseContext())
        {       
            using (var dbContextTransaction = context.Database.BeginTransaction())
            {
                try
                {
                    var sql = String.Format("OPEN SYMMETRIC KEY {0} DECRYPTION BY CERTIFICATE {1}", KeyName, CertName);
                    context.Database.ExecuteSqlCommand(sql);

                    sql = String.Format("SELECT CONVERT(varchar, DecryptByKey(Encrypted_Password)) FROM Application_Credentials WHERE User_Name = '{0}'", UserNameToDecryptCredsFor);
                    var result = context.Database.SqlQuery<string>(sql).FirstOrDefault();

                    sql = String.Format("CLOSE SYMMETRIC KEY {0}", KeyName);
                    context.Database.ExecuteSqlCommand(sql);
                }
                catch (Exception exp)
                {
                    var x = exp.ToString(); //do something with exception
                }
            }
        }

Sie schrieb, dass dies für eine einzelne Spalte/Zeile, aber nicht für die gesamte Tabelle/Klasse. Wie sollte ich das angehen, wenn ich encript/decript alle oder die meisten Spalten in einer Tabelle?

InformationsquelleAutor n00b

-3

In meinem konkreten Fall brauchte ich zum verschlüsseln Kreditkartennummer, das ist immer 16 Zeichen; so habe ich nur noch ein Zustand, in dem man (wenn Länge != 16 dann entschlüsseln) und in der Gruppe (wenn Länge == 16 dann verschlüsseln) der Eigenschaft. Es funktioniert und es vermieden, mir eine Menge Arbeit.

InformationsquelleAutor Carlos

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.