Announcement

Collapse
No announcement yet.

Verschlüsselungen von Stored Procedures?

Collapse
X
Collapse
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Verschlüsselungen von Stored Procedures?

    Hallo,

    MS SQL Server bietet bei Stored Procedures die Möglichkeit, diese durch Angabe von <i>with encryption</i> zu verschlüsseln. Wie gut sind diese Verschlüsselungen?

    Im Web findet man stored procedures, die solche verschlüsselten procedures entschlüsseln. Welche Sinn macht das Verschlüsseln dann eigentlich noch, wenn man mit relativ einfachen Mitteln (hauseigene stored procedures) die Sache aushebeln kann?

    Wenn man eine Datenbank mit befüllter Applikationsschicht (Stored Procs, Views, usw.) hat, wie kann man diesen Code dann noch sinnvoll schützen? (Nicht gemeint sind die Tabellen und Beziehungen, als vielmehr der Code der Prozeduren).

    PS: Gibt es auch bei Oracle die Möglichkeit, stored procedures zu verschlüsseln (Äquivalent zu with encryption)?

    Gruß<br>
    Stephan Schneider
    Tags: None
  • #2
    Hallo,

    in der SQL Server-Onlinedokumentation vom MS SQL Server 2000 steht dazu der folgende Satz: "<i>Verschlüsseln von Prozedurdefinitionen: Wenn Sie eine gespeicherte Prozedur erstellen und sicherstellen möchten, dass die Prozedurdefinition nicht von anderen Benutzern angezeigt werden kann, können Sie die WITH ENCRYPTION-Klausel verwenden. Die Prozedurdefinition wird nun in einer nicht lesbaren Form gespeichert. Nachdem eine gespeicherte Prozedur verschlüsselt wurde, kann ihre Definition nicht mehr entschlüsselt werden und somit von niemandem angezeigt werden, einschließlich des Besitzers der gespeicherten Prozedur und des Systemadministrators."</i>

    Dieser Satz bedeutet jedoch nicht, dass es überhaupt keine technischen Wege gibt, diese Verschlüsselung zu knacken. Für den Normalfall (Angreifen hat keine Administrator- bzw. sa-Rechte an der Datenbank) ist diese Verschlüsselung aber wirksam.

    &gt;..die solche verschlüsselten procedures entschlüsseln..

    Funktioniert das tatsächlich beim MS SQL Server 2000, wenn der Angreifer ein normaler Datenbankbenutzer (ohne sa-Rechte) ist? Wenn ja, wie sieht das aus

    Comment

    • #3
      Hallo Herr Kosch,

      für das Entschlüsseln habe ich folgende Webseite gefunden:<a href="http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId=505&lngWId=5">hier</a>

      Mir ist klar, dass es keine 100%ige Sicherheit gibt. Wenn es aber bereits mit einfachen Mitteln (keine Hack-Tools) geht, gewisse Dinge auszuhebeln, muss man sich die Sinnfrage stellen.

      Ich finde es toll, dass MS diese Möglichkeit anbietet, und für den Normalfall reicht es auch.

      Mir geht es in erster Linie darum, die Frage zu klären: Kann ich die Applikationsschicht eines Servers sinnvoll schützen? Oder anders ausgedrückt: Wie kann ich es verhindern, dass man die Implementierung bestimmter SP nicht sieht

      Comment

      • #4
        Hallo,

        auf der o.g. Webseite ist der Hinweis zu finden, dass diese SP nur die Stored Procedure entschlüsseln kann, die kleiner als 8 kByte sind. Somit reicht das Hinzufügen von "Ballast" (Kommentarzeilen) aus, um dem Spuk ein Ende zu bereiten. Es wäre einen Versuch wert, dies zu testen

        Comment

        Previous template Next
        Working...
        X