FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Temas de Hoy |
|
Herramientas | Buscar en Tema | Desplegado |
#1
|
||||
|
||||
Sobre el uso de la función HASH
Buenas. Estoy trabajando con una base de datos hecha en FB 2.5. Hurgando por esos mundos de Dios he venido a dar con la función HASH(); sinceramente desconocía que estuviera implementada en el motor y me ha parecido muy interesante.
Dado que la base de datos a la que me refiero usa varios campos con información sensible (datos personales o números de cuentas bancarias) me pareció interesante desde el principio la posiblidad de encriptar o cifrar de alguna forma esta información de manera que si la base de datos es "asaltada" por cualquiera la información no sea facilmente accesible. Sobre como guardar la información no tengo problema; he comprendido desde el principio como hacerlo: Sin embargo no entiendo como podría recuperar la información. Por ejemplo: Tengo guardada en una tabla un campo Nombre que contiene (sin cifrar ni nada) el valor ÁNGEL. Si hago un HASH sobre esa celda me devuelve el valor 12987292. Ahora bien, ¿cómo hago para que al hacer un SELECT sobre esa celda se recupere el valor original ÁNGEL? He esatdo mirando por aquí y en otras webs y no veo como poder hacerlo. |
#2
|
||||
|
||||
Hash no devuelve un cadena cifrada/encriptada, sino un valor que sirve para comprobar que la cadena no ha sido modificada.
Ejemplo, imagina un campo blob donde se ha guardado una imagen: hash("campoimagen") devuelve, ejemplo: 42342342 Alguien edita la imagen y la guarda, se puede comprobar su hash: hash("campoimagen") devuelve, ejemplo: 4432u42222 Es distinto, quiere decir que la imagen ha sido editada. |
#3
|
||||
|
||||
Hash NO ES SUBSTITUTO DE UN ALGORITMO DE ENCRIPTACION.
---- Es increíble el inmenso daño que tutoriales de "seguridad" le han hecho a la comunidad!!! --- Que es un hash? https://en.wikipedia.org/wiki/Hash_function Cita:
Hash *precisamente* esta diseñado para *evitar* "recuperar la información". Osea, no son "reversibles". Eso derrota su proposito. Si vas a encriptar, debes usar un algoritmo de *encriptacion*. Nota como "hash" no es parecido ni a palos a "encrypt". Hashing puede ser parte de los *pasos* en la encriptacion. Un cipher, por el contrario: https://en.wikipedia.org/wiki/Cipher Cita:
Pero CUAL algoritmo de encriptacion? Mas importante aun, usa una libreria ya hecha y probada, no lo "inventes". https://paragonie.com/blog/2016/02/h...ssword-in-2016 Cita:
LibSodium es considerado una de las mejores librerias y esta disponible para Delphi! https://download.libsodium.org/doc/b...ges/index.html
__________________
El malabarista. |
#4
|
||||
|
||||
Muchas gracias a los dos. Efectivamente la confusión se debe a un error de concepto. Amplío mi pregunta: ¿Existe una función similar en FB al crypt/decrypt de MySQL?
|
#5
|
||||
|
||||
Creo que la versión 3 sí trae, para versiones anteriores, mira esto.
|
#6
|
||||
|
||||
Lo que leo de ese articulo es acerca de encriptar la BD (completa) o su metadata, no los datos especificos de la aplicacion.
Con todo, no necesitas nada especial como soporte en la BD. Manda directo la cadena encriptada desde tu app, idealmente con un prefijo que exprese que algo+salt+value usaste, como: Cita:
__________________
El malabarista. |
#7
|
||||
|
||||
Cita:
Cita:
Cita:
Última edición por Angel.Matilla fecha: 07-09-2017 a las 10:03:41. |
#8
|
||||
|
||||
Mira esto: http://delphi.jmrds.com/node/95
|
#9
|
||||
|
||||
Cita:
|
#10
|
||||
|
||||
Otro ejemplito:
Para terminar, un pequeño ejemplo de cómo funciona: * Ciframos el texto "Hola mundo": Str := Cifrar("Hola mundo",'1234567890'); * Ahora la variable Str contiene el texto: CgAAADpn2TqC3VGqJmIQdPzgAaA= * Desciframos el texto anterior: Str := Descifrar("CgAAADpn2TqC3VGqJmIQdPzgAaA=",'1234567890'); * Ahora la variable Str vuelve a contener el texto: "Hola mundo" -------------------------------------------------- Otro más: http://delphi.jmrds.com/node/96 Como ves, el amigo Seoane tiene bastantes recursos sobre el tema. |
#11
|
||||
|
||||
Ya encontré el código que comentaba antes. Es un pelín "pedestre" pero funciona y la misma función vale en ambos sentidos: para cifrar y descifrar. Este es el código que quedó al final, después de varios repasos de gente del foro.
Código PHP:
- Si pasamos ANGELITO devuelve IGFAKLRL. - Y si pasamos IGFAKLRL devuelve ANGELITO. Por supuesto que está abierto a mejoras en cualquier sentido. |
#12
|
||||
|
||||
No!
Ese tipo de "cifrado" a duras penas es eficiente en contra de un infante que aun no sabe leer! Usa un algoritmo *probado*. De lo contrario, ni pierdas el tiempo.
__________________
El malabarista. |
#13
|
||||
|
||||
Hay varias bibliotecas para Delphi dando vueltas por ahi. Yo no uso ninguna en produccion, asi que mas que un sabio consejo es una directriz para que investigues por tu cuenta
El framework Spring4D tiene clases para cifrado. Yo utilizo este framework ampliamente, no la parte de cifrados, pero te puedo asegurar que es de calidad "top" en el mundo de Delphi. Puedes revisar las unidades de cifrado que estan en Source / Extensions / Cryptography Podes tomar los test de unidad como ejemplos de uso Hay otras bibliotecas tambien como LockBox, LockBox3, y TForge, esta tambien cuenta con un blog del autor que podes consultar |
#14
|
||||
|
||||
Gracias por vuestars respuestas.
Sobre lo que comenta mamcx acerca de la facilidad para romper la cifra. Tienes razón, y no deja de ser un prototipo mejorable. AgustinOrtu: Es cierto que hay multitud de librerias y paquetes tanto para Delphi como Builder sobre este tema pero quiero evitar en lo posible emplear paquetes ajenos a Borland. Me han dado demasiados problemas y estoy bastante escaldado. Seguiré buscando alternativas por código sin necesidad de paquetes externos. |
#15
|
||||
|
||||
Cita:
SIN EXCEPCIONES! Y que hay de tener una dependencia minima? Si hasta casimiro te paso las units. Ni que estuvieras con una inmensa libreria. --- Se que suena a regaño pero este es un tema que *nosotros* los programadores nos la pasamos olimpicamente por la galleta. La falta de seguridad y privacidad es el fracaso mas grande de la industria de IT, y si no nos importa a nosotros, pues a quien?
__________________
El malabarista. |
#16
|
||||
|
||||
Si el código aportado por Ángel.Matilla va a ser usado en algún lugar que no les afecte el que puedan descifrar los datos, entonces no hay problema.
Pero, desde luego, ese código es el típico primer ejemplo que viene en cualquier tutorial para empezar a enseñar cómo se usa una función de cifrado. Cualquier aficionado puede descifrarlo con un mínimo de esfuerzo. |
#17
|
||||
|
||||
Cita:
Cita:
|
#18
|
||||
|
||||
Pues con más razón, no puedes usar tu códgo, imagina que se llevan una copia de la base de datos (no hace falta internet), ¿cuáles serían los comentarios y reproches? "Mira, tanta seguridad y al final se llevan la BD y seguro que la han descifrado".
Que no lleguen a eso |
#19
|
||||
|
||||
#20
|
|||
|
|||
Estimado Casimiro:
Muchas gracias por el código y los Units que incluyes en el comentario #10 de este hilo. Se ajusta perfectamente a lo que estaba buscando para codificar texto: sencillez y efectividad. Y, además de darte las gracias, te pregunto si ese código es de libre uso, si tiene autor y/o cuales son las condiciones para usarlo en un programa que podría llegar a distribuirse gratuita o comercialmente. Saludos. Última edición por rrf fecha: 18-12-2018 a las 22:34:55. Razón: corregir la redacción |
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
Tablas Hash | godel | Lazarus, FreePascal, Kylix, etc. | 3 | 19-02-2008 11:40:03 |
codigo hash | maco2007 | Varios | 4 | 20-10-2007 17:01:04 |
Calcular hash md5 | Lepe | Trucos | 1 | 10-05-2007 15:11:58 |
Hash | RaulChemical | Varios | 1 | 07-09-2004 20:10:11 |
¿Hash or not Hash? | hgiacobone | Varios | 5 | 17-07-2003 19:43:26 |
|