Kryptering og datasikkerhed

Hej,

Jeg går med tankerne om at starte noget web-værk op, som skulle fungere som et hobby-projekt og en sideindtægt.

Casen er dog lidt kompliceret, da der ville være tale om at jeg skulle gemme noget MEGET personfølsom data for mine kunder. For at helgardere mig selv har jeg derfor tænkt meget på hvordan jeg skal realisere data-opbevaringen. Dette vil jeg gerne have lidt feedback på, det bliver nok noget teknisk nu.

Min nuværende ide til en model ser ud noget ala det følgende,

• Brugere registreres med gængs brugernavn/kodeordskombination.
• Kodeordet opbevares kun i min database som et salted hash, hvorved en kompromittering af selve databasen ikke nødvendigvis (det gør det selvfølgelig nemmere) giver adgang til kodeordene.
• Kodeordene benyttes derudover på brugerniveau som krypteringsnøgle (symmetrisk) for et private-key/public-key pair (altså assymetrisk)
• Alle de reelle data, undtaget selvfølgelig mine opbevaringsnøgler og lignende, opbevares kun krypteret med den for brugeren generede assymetriske nøgle.

Idéen her er at selv i tilfælde af et rainbow-attack på brugerens kodeord, hvor en potentiel angriber kan opnå et kodeord der i forhold til login-checket er velfungerende, vil det sandsynligvis stadigvæk ikke give adgang til de direkte følsomme data, som er krypteret vha. det korrekte kodeord kun.

Setup'et sørger også for at jeg selv og andre med adgang til databasen på ingen måde kan se hvilke data der er i spil, hvilket virker som et godt salgsargument for mig.

Hertil kommer dog nogle problemer:

• Hvis brugeren skulle smide sit password væk, og det kan jo SAGTENS tænkes at ske, mistes data virkelig. Data kan _ikke_ genskaffes uden det korrekte kodeord. (Det er i hvert fald tanken). Jeg vil selvfølgelig tilbyde og opfordre mine kunder til at have en lokal backup af deres data, men jeg frygter måske jeg kan komme i klemme alligevel. Måske ikke rent juridisk -- men det vil være en skam at miste kunder fordi de mister modet på konto af det her problem.
• Opnår jeg overhovedet nogen form for kryptografisk fordel ved at benytte de 2 lag? Bør jeg måske skalere ned til en symmetrisk kryptering i andet lag også, for effektivitetens skyld (blot med en tungere key evt?)
• Giver jeg, ved at opbevare data krypteret med kodeordet (værende det assymetriske keypair) ved siden af det saltede hash af kodeordet, potentielle angribere nok fordel til at de uden problemer kan regne det ud?

Jeg indser skam at det nok under alle omstændigheder er paranoia fra min side, at der overhovedet skulle være interesse i at angribe systemet - Men jeg føler alligevel at jeg bør dække mig ind og i hvert fald have tænkt mulighederne igennem.

Hvis der er nogen der har erfaring med lignende problemstillinger, eller har feedback til ovenstående vil jeg blive meget taknemmelig for noget input.

P.S.: Hvis jeg har overset andre tråde om emnet undskylder jeg på forhånd, men jeg kan ikke rigtigt få Aminos søgefunktion til at give bare et nogenlunde fornuftigt output - selv på søgeord jeg ved forekommer :(

Med venlig hilsen,

E-mail adressen som brugernavn var faktisk også planen. Det var blot for at holde mig lidt indenfor de mere udbredte termer her :-)

Der er tale om data der for langt de fleste brugere ikke vil være meget følsomt, men for en vis mængde (potentielle) brugere vil der være gevinst for eventuelle angribere. Samtidigt er det data der for alle vil føles meget privat, og som ville kunne udnyttes på det groveste til targetted marketing, hvilket også er min pointe med at sikkerheden skal være et salgsargument, ligeledes for at garantere at JEG ikke kan tilgå dem og udnytte dem på den måde.

Det primære her er jo nok at jeg gerne vil have min bagdel dækket _hvis_ der skulle ske noget, så jeg minmerer min egen risiko for retsforfølgelse og hvad ved jeg. 

Jeg beklager jeg er lidt kryptisk (pun intended), men på trods af at jeg ved det skader processen med at få hjælp vil jeg gerne holde mine kort lidt tæt ind til kroppen indtil jeg har konkretiseret mit projekt noget mere :-) Længe leve paranoia.