如何使用VB.NET中存儲在web.config中的密鑰加密字段？

Question

我希望有人能幫我解決我的問題。我一直負責撰寫將由我們的人力資源部門使用的計劃。該程序將是Intranet的一個子集，並將根據用戶的部門進一步進行限制。該計劃將包含一個員工檔案，該檔案將存儲一些敏感信息，如社會安全號碼。我試圖找到加密SSNs的最佳方式，以便它們不可讀爲數據庫中的純文本。

我發現代碼可以使用System.Security.Cryptography命名空間使用一些VB.NET內置函數，如here所述。

該代碼的作用是將數據插入數據庫時​​，該字段已加密。我面對的這個問題是，當我想讓員工退後時，我無法解密它。我的猜測是因爲我做這個，我需要解密的值在頁面上：

Dim rsa As New RSACryptoServiceProvider 

它們基本上將定義一個新的加密服務提供商，而不是我用來擺在首位的加密數據的一個。我想知道，如果你做新的RSACryptoServiceProvider它會出現一個新的公/私鑰對？

我的下一個想法是瞭解如何將加密和解密密鑰存儲在web.config中，以便無論用戶在數據上的哪個頁面都可以解密。我沒有找到一個很好的例子，因爲我看到的所有內容都顯示瞭如何在web.config中加密/解密字段（例如密碼和數據庫連接），而不是在應用程序中實際使用它。這是一個加密數據的好方法嗎？如上所述，這將是內聯網的一個子集，因此應用程序將在本地舉行，而不會暴露於外部。我只是非常不舒服，因爲SSN在數據庫中可讀。

這是我第一次進入加密，所以我很抱歉，如果這是一個簡單的問題。

我在連接到SQL SERVER 2008 R2的Visual Studio 2015中使用VB.NET。我願意接受任何人的建議。

Answer 1

我已經想出瞭如何去做我正在尋找的東西。儘管Alex的解決方案有效，但在VB.NET代碼中完成加密提供了傳遞不同密鑰的功能，以便可以對不同部分的數據進行不同的加密。本質上，如果有人碰巧得到其中一個密鑰，他們只會獲得一些數據，而不是全部。這不是一個完美的解決方案，但它比在數據庫中顯示明文字段要好。

我創建了一個類文件，並將其放在App_Code文件夾中，並將其命名爲Simple3Des。這個類看起來是這樣的：

Imports System.Security.Cryptography 

Public Class Simple3Des 

    Private TripleDes As New TripleDESCryptoServiceProvider 

    Private Shared Function TruncateHash(ByVal key As String, ByVal length As Integer) As Byte() 
     Dim sha1 As New SHA1CryptoServiceProvider 
     //hash the key 
     Dim keyBytes() As Byte = System.Text.Encoding.Unicode.GetBytes(key) 
     Dim hash() As Byte = sha1.ComputeHash(keyBytes) 
     //truncate or pad the hash 
     ReDim Preserve hash(length - 1) 
     Return hash 
    End Function 

    Public Shared Function EncryptData(ByVal plaintext As String, ByVal key As String) As String 
     //convert the plaintext string to a byte array 
     Dim threeDes As New TripleDESCryptoServiceProvider 
     threeDes.Key = TruncateHash(key, threeDes.KeySize \ 8) 
     threeDes.IV = TruncateHash("", threeDes.BlockSize \ 8) 
     Dim plaintextBytes() As Byte = System.Text.Encoding.Unicode.GetBytes(plaintext) 
     //create the stream 
     Dim ms As New System.IO.MemoryStream 
     //create the encoder to write the byte array to the stream 
     Dim encStream As New CryptoStream(ms, threeDes.CreateEncryptor(), System.Security.Cryptography.CryptoStreamMode.Write) 
     encStream.Write(plaintextBytes, 0, plaintextBytes.Length) 
     encStream.FlushFinalBlock() 
     //convert the encrypted stream to a printable string 
     Return Convert.ToBase64String(ms.ToArray) 
    End Function 

    Public Shared Function DecryptData(ByVal encryptedtext As String, ByVal key As String) As String 
     //convert the encrypted text string to a byte array 
     Dim threeDes As New TripleDESCryptoServiceProvider 
     threeDes.Key = TruncateHash(key, threeDes.KeySize \ 8) 
     threeDes.IV = TruncateHash("", threeDes.BlockSize \ 8) 
     Dim encryptedBytes() As Byte = Convert.FromBase64String(encryptedtext) 
     //create the stream 
     Dim ms As New System.IO.MemoryStream 
     //create the decoder to write to the stream 
     Dim decStream As New CryptoStream(ms, threedes.CreateDecryptor(), System.Security.Cryptography.CryptoStreamMode.Write) 
     //use the crypt stream to write the byte array to the stream 
     decStream.Write(encryptedBytes, 0, encryptedBytes.Length) 
     decStream.FlushFinalBlock() 
     //convert the plaintext stream to a string 
     Return System.Text.Encoding.Unicode.GetString(ms.ToArray) 
    End Function 

End Class 

然後用下面調用類：

//to encrypt 
Simple3Des.EncryptData("Data to encrypt", "key") 
//to decrypt 
Simple3Des.DecryptData("Data to decrypt", "key") 

Answer 2

您必須記住，加密數據只受加密密鑰保護。在web.config或任何其他文件中存儲加密密鑰雖然方便，但並不十分安全。做你想要使用的數據庫工具只是什麼

一種方法是：

要使用數據庫的密鑰進行加密的SSN列，這可以讓你控制誰有權訪問密鑰，因此誰可以解密數據。 您可以選擇創建一個試圖解密數據的視圖，或者如果用戶無權訪問解密密鑰，則返回NULL。

我會建議使用KEY_SOURCE字符串創建密鑰，以便在發生災難時可以重新創建它們，也可以備份數據庫主密鑰，如果不這樣做，以及未執行恢復測試，則可能會使您處於無法挽回的數據丟失。

更多詳細信息請參閱以下文章： https://www.mssqltips.com/sqlservertip/3081/using-views-to-expose-encrypted-data-in-sql-server/。