Реклама:

Для защиты данных конфигурации ASP.NET поставляется вместе с двумя провайдерами.

■ DataProtectionConfigurationProvider Использует DPA PI для защиты разделов конфигурации.

■ RsaProtectedConßgurationProvider При м е няет ас имметр и ч н у ю кр и і его граф и ю с парами открытый ключ закрытый к л кіч.

Выбор провайдера зависит от сценария развертывания. Данные, защищенные с помощью DPA PI, имеют смысл только па машине, где были зашифрованы, и никакой возможности перенести машинные ключи с одной машины на другую не существует. Поэтому DPA PI очень удобно использовать при создании сценариев на отдельном сервере. Ключи RSA можно создавать, экспортировать и пересылать между машинами, поэтому RSA целесообразно применять в Web-сценариях для групп серверов, где на нескольких узлах кластера развертывается один и тот же зашифрованный файл web. coiifig. Вместе с тем я видел, как компании пересылали файл конфигурации на сервер в открытом виде и шифровали его локально с помощью DPAPI на этапе развертывания. Вес зависит от того, что для вас в настоящий момент проще сделать. Относительно защиты особого различия не существует: если злоумышленники смогут взломать один механизм, то они смогут взломать и другой.

Конфигурация и установка

Провайдеры по умолчанию конфигурированы в файле machine.con.fig.

<configProtectedData

defaultProvider="RsaProtectedConfigurationProvider"> <providers> <add

narne= "DataProtectionConfigurationProvider" description="Uses DPAPI to encrypt and decrypt" useMacnineProtection="true" keyEntropy=""

type="DpapiProtectedConf igurationProvider,..."

/> <add

name="RsaProtectedConfigurationProvider"

description="Uses RsaCryptoServiceProvider"

keyContainerName="NetFrameworkConfigurationKey"

cspProviderName=""

useMacnineContainer="true"

useOAEP="false" type=" RsaProtectedConfigurationProvider,..." />

</providers> </configProtectedData>

В обоих провайдерах используется концепция хранения пользователь/машина, поскольку возможность защищенной конфигурации доступна также для клиентских приложений. Для ASP.NET больше подходит машинное хранение, так как профили пользователей не загружаются для процесса исполнителя.

| „1 ПРИМЕЧАНИЕ Теоретически вы можете загружать пользовательские профили вручную с помощью команды runas, однако я не рекомендовал бы вам так делать.

Провайдер RSA позволяет задавать драйвер для физического устройства хранения. Если свойство cspProviderName не содержит никакого значения, используется драйвер по умолчанию для локального жесткого диска. Такие устройства, как смарт-карты, обеспечены собственным провайдером услуг криптографии (Cryptographic Service Provider, CSP), который также может здесь использоваться. Более того, вы можете указать имя контейнера, содержащего пару ключей.

] „1 ПРИМЕЧАНИЕ Optimal Asymmetric Encryption Padding (ОДЕР) является специальным режимом заполнения. Когда в процессе шифрования происходит утечка информации, это не представляет опасности, поскольку заполненные текстовые блоки выглядят как случайные данные, то есть происходит утечка лишь случайных битов. В сценарии с зашифрованными файлами конфигурации это никак не влияет на степень защиты. Режим ОАЕР не поддерживается в Windows 2000 и более ранних версиях.


⇐ Предыдущая страница| |Следующая страница ⇒