Как лучше хранить "секретную" инфу в базе
менно так. Одно из основных требований - информацию можно зашарить с любым кто кто есть в AD, то бишь с любым официальным пользователем организации.
Эвона как. Вона чо. А мы-то об этом "основном требовании" тока щас узнаём. Как так? Такое основное, а только сейчас придумалось.
Ну, поймай какого-нить админа, пусть тебе про виндусятские Cryptographic Service Provider (CSP) и Key Storage Provider (KSP) расскажет.
Так-то можно и ручками в AD публичные ключи запихнуть. Или через
Но возникает другой вопрос - а о каких других ещё более "основных" требованиях ты ещё умолчал? Попробуешь ещё раз сформулировать всё что надо?
А связываться с пользователем и просить его посетить сайт - это уже слишком.
Хихикаю в кулачок-с. Безопасность. Данные к кoторым доступа ни у кого нет! Но связываться не моги! Пользователь под себя от ужаса надудонит :)
Уменьшай требования к безопасности тогда.
И для входа в любую прогу двух-уровневая авторизация. То бишь, левых пользователей быть не должно.
А левые пользователи тут и не при чём. Ты друг-другу не доверяешь. ВНУТРИ организации. Твоё ж требование "и чтоб никакой админ не мог прочитать!" (и чтоб из города керосин привозили!)
Может я еще чего не понял. Как тогда генерится ЗП2 (хотя должно быть ЗП1б)? Получается один ключ для шифрования и много для дешифровки - такого я еще не знаю
Я уже не знаю как объяснить. Посмотри ещё раз картинку, которую я gendy присылал.
Ключ для шифрования/дешифровки ресурса один - КР1. Много зашифрованных ключей. Для каждого пользователя/группы - свой. Чтобы их можно было хранить, и "ниакой админ" их не мог использовать, чтобы дешифровать ресурс.
Достаточно того, что бы любой авторизированный персонал не имел легальных путей доступа к зашифрованной информации.
Ай, красавчик. Мне зарплата большая не нужна. Достаточно чтобы на свой остров, яхту и пару дворцов хватило. Достаточно, блин. А как же "поделиться без копирования"? Это уже не надо?