Discussion :

[rampageXT]

Bonjour,

Voilà j'ai bien lu le topic sur les bonnes pratiques de cryptage, mais c'est toujours un peu flou.

Voilà une application doit accéder à une base de données. Le mot de passe d'accès est contenu dans un fichier properties pour éviter de demander ce mot de pass à chaque connexion à la base.
Seulement le but est de crypter ce mot passe dans le fichier properties, il faut donc le decrypter à chaque connexion.

En utilisant Cipher et AES il faut stocker la clé sym pour le décryptage.

Clairement, comment procéder à ce stockage ? Quel est le meilleur moyen ?

merci d'avance pour vos réponses.

[Invité]

Salut,
Il n'y a pas de solution miracle sans l'entrée d'un mot de passe par un intervenant humain. Tu pourras crypter ton mot de passe dans le fichier, si la clef est enregistrée en clair, ce cryptage est inutile, si elle est elle même cryptée, il faudra stocker la clef qui a servi à crypter la clef... Bref on tourne en rond.
De même stocker un mot de passe ou une clef en dur dans le code, n'est jamais une bonne solution car il peut être retrouvé en décompilant ton code... Ceci dit j'ai déjà vu plusieurs appli qui procèdent ainsi, et on la clef en dur dans le code. A toi de voir

[rampageXT]

Effectivement ça confirme ce que je pensais un peu.
Merci pour ta réponse

[rampageXT]

Voilà, j'ai donc choisi une solution...
Mais je réouvre car je rencontre un léger problème.
J'utilise AES/CFB/PCKS5Padding, et Base64Encoder/Decoder.

Tout se passe bien, cryptage/decryptage sauf dans 1 cas,
source étant un String:
- cryptage(source)/decryptage(source) = OK
- cryptage(source)/decryptage(source modifiée) = KO -> normal
- cryptage(source)/decryptage("a"+source) = KO -> normal
- cryptage(source)/decryptage(sou+"a"+rce) = KO -> normal
- cryptage(source)/decryptage(source+"a") = OK -> Anormal !
- cryptage(source)/decryptage(source+"ab") = KO -> normal

En résumé, si j'ajoute un char quelconque à la fin de mon message crypté, le decryptage fonctionne quand même et renvoie le bon message en clair.

Etrange ? ou j'ai raté un épisode.

Merci

[Invité]

Tu peux nous montrer un exemple, tu ajoutes le "a" à ta chaine en base 64 ? Ca marche juste avec "a" ou avec d'autres caractères ?

[rampageXT]

J'ai pas le code sous les yeux, mais demain je posterai un exemple si jamais.

Oui avant d'appeler la methode decrypt(source), je rajoute un caractère quelconque à la chaine cryptée source (n'importe quoi "a", "1", "-", ....)

Par exemple:
encrypte("clearText") = mE45d5csslpfosXe1
decrypte("mE45d5csslpfosXe1j") = "clearText"

alors que:
decrypte("mE45d5csslpfosXe1j-") = BadPadding exception

[azazazs]

J'ai pas le code sous les yeux, mais demain je posterai un exemple si jamais.

Oui avant d'appeler la methode decrypt(source), je rajoute un caractère quelconque à la chaine cryptée source (n'importe quoi "a", "1", "-", ....)

Par exemple:
encrypte("clearText") = mE45d5csslpfosXe1
decrypte("mE45d5csslpfosXe1j") = "clearText"

alors que:
decrypte("mE45d5csslpfosXe1j-") = BadPadding exception

Bonjour, j'ai besoin de savoir si vous avez trouvé un moyen de stocker la clé AES.

Merci.

[Marco46]

Pour stocker un mot de passe, la meilleure des solutions est de stocker l'empreinte numérique (SHA-1 ou MD5) de ton mot de passe.
Ton utilisateur saisit son mot de passe, tu le hashes et tu compares le résultat du hash avec l'empreinte stockée pour cet utilisateur. Si elle correspond alors le mot de passe est le bon.

C'est, à ma connaissance, la meilleure façon de procéder pour la gestion des mots de passes car comme l'a dit George7, pour chiffrer il faut aussi un mot de passe et donc on tourne en rond

[Invité]

Si tu veux utiliser ce mot de passe pour te connecter quelque part ou crypter/décrypter par exemple, stocker le hash ne marchera pas
Il te faut avoir le mot de passe en clair à un moment ou un autre. Donc sans intervention humaine (entrée de mot de passe, ...) il n'existe aucune solution sûre... Comme toujours la question est : de quel niveau de sécurité as tu besoin ? Quel est le risque ?

[Marco46]

Ah oui pour cette utilisation là c'est sûr, il y aura toujours un mot de passe au bout de la chaine ^^