Encriptar Conexion SQL

Dradi7 · #1 (**permalink**) 23/01/2011, 22:03

Hola a todos estoy trabajando en JAVA y estoy utilizando el SQL SERVER DRIVER para conectarme a SQL ya tengo un sistema hecho en Java, lo que quisisera saber es si saben una manera de como poder encriptar la Conexion SQL yo tengo este codigo para conectarme

Código C#:

Ver originalprotected Connection Con = null;
    protected PreparedStatement Pst = null;
    protected CallableStatement Cst = null;
    protected CachedRowSetImpl Crs = null;
    protected ResultSet Rs = null;
 
    protected final String SERVER = "ServerSQL";
    protected final String DATABASENAME = "nameBD";
    protected final String USER = "admin";
    protected final String PASSWORD = "admin";
    protected final String SECURITY ="false";
 
public void Open()
    {
        try
        {
            Con = null;
            String URL = "jdbc:sqlserver://" + SERVER + ";databaseName=" + DATABASENAME + ";integratedSecurity=" + SECURITY;
            Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver");
            DriverManager.registerDriver(new com.microsoft.sqlserver.jdbc.SQLServerDriver());
            Con = DriverManager.getConnection(URL,USER,PASSWORD);
        }catch(ClassNotFoundException ex){
            JOptionPane.showMessageDialog(null,"Error En El Controlador SQL:" + ex.getMessage(),"Aviso",1);
        }catch(SQLException ex){
            JOptionPane.showMessageDialog(null,"Error al conectarse al SQL Server 2008:" + ex.getMessage(),"Aviso",1);
        }catch(Exception ex){
            JOptionPane.showMessageDialog(null,"Error:" + ex.getMessage(),"Aviso",1);
        }
    }

es decir ENCRIPTAR el envio del USUARIO y el PASSWORD para evitar alguna INJECCION o que entren o se conecten a mi BD sacando esta informacion

jhonmelguizo · #2 (**permalink**) 24/01/2011, 07:34

Código JAVA:

Ver originalimport java.io.UnsupportedEncodingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.SecretKey;
 
/**
 *
 * @author http://www.exampledepot.com/egs/javax.crypto/desstring.html
 */
public class DesEncrypter {
    Cipher ecipher;
    Cipher dcipher;
 
    DesEncrypter(SecretKey key) {
        try {
            ecipher = Cipher.getInstance("DES");
            dcipher = Cipher.getInstance("DES");
            ecipher.init(Cipher.ENCRYPT_MODE, key);
            dcipher.init(Cipher.DECRYPT_MODE, key);
 
        } catch (javax.crypto.NoSuchPaddingException e) {
        } catch (java.security.NoSuchAlgorithmException e) {
        } catch (java.security.InvalidKeyException e) {
        }
    }
 
    public String encrypt(String str) throws IllegalBlockSizeException {
        try {
            // Encode the string into bytes using utf-8
            byte[] utf8 = str.getBytes("UTF8");
 
            // Encrypt
            byte[] enc = ecipher.doFinal(utf8);
 
            // Encode bytes to base64 to get a string
            return new sun.misc.BASE64Encoder().encode(enc);
        } catch (javax.crypto.BadPaddingException e) {
        } catch (IllegalBlockSizeException e) {
        } catch (UnsupportedEncodingException e) {
        } catch (java.io.IOException e) {
        }
        return null;
    }
 
    public String decrypt(String str) {
        try {
            // Decode base64 to get bytes
            byte[] dec = new sun.misc.BASE64Decoder().decodeBuffer(str);
 
            // Decrypt
            byte[] utf8 = dcipher.doFinal(dec);
 
            // Decode using utf-8
            return new String(utf8, "UTF8");
        } catch (javax.crypto.BadPaddingException e) {
        } catch (IllegalBlockSizeException e) {
        } catch (UnsupportedEncodingException e) {
        } catch (java.io.IOException e) {
        }
        return null;
    }
}

Lo que puedes hacer es encriptar todo el string de conexión o si prefieres cada una de las propiedades de tu clase, creas un método que encripte y uno para desencriptar, cómo se usa:

Importas en la clase que vayas a instanciar:
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;

Código JAVA:

Ver original//---------------------------------------
try {
        // Generate a temporary key. In practice, you would save this key.
        // See also Encrypting with DES Using a Pass Phrase.
        SecretKey key = KeyGenerator.getInstance("DES").generateKey();
 
        // Create encrypter/decrypter class
        DesEncrypter encrypter = new DesEncrypter(key);
 
        // Encrypt
        String encrypted = encrypter.encrypt("Don't tell anybody!");
 
        // Decrypt
        String decrypted = encrypter.decrypt(encrypted);
 
        javax.swing.JOptionPane.showMessageDialog(null, encrypted);
        javax.swing.JOptionPane.showMessageDialog(null, decrypted );
 
        } catch (Exception e) {
        }

Espero te sirva, saludos...

Dradi7 · #3 (**permalink**) 24/01/2011, 08:11

solo una consulta que tan factible es utilizar este metodo de encriptacion existe una manera de que otro usuario o otro programador pueda sacar la contraseña o conexion a mi servidor, con este codigo:

Código Java:

Ver originalSecretKey key = KeyGenerator.getInstance("DES").generateKey();

estoy diciendo que necesariamente necesito esta clave para encriptar y desencriptar verdad, que tan segura viendo siendo esta clave para evitar cualquier caso de que otra persona entre a mi BD

jhonmelguizo · #4 (**permalink**) 24/01/2011, 09:03

Cita:

Iniciado por Dradi7

estoy diciendo que necesariamente necesito esta clave para encriptar y desencriptar verdad, que tan segura viendo siendo esta clave para evitar cualquier caso de que otra persona entre a mi BD

La seguridad de tu aplicación y conexiones seguras no dependen únicamente de si se encripta o no el código, depende de tu estructura y arquitectura, métodos publicos, privados, herencias entre otras variantes las cuales pueden ser vulnerables.

Seguramente existen más formas.

Saludos...

Dradi7 · #5 (**permalink**) 24/01/2011, 10:38

no en cuanto mi infraestructura del aplicativo y la arquitectura eso si lo tengo bien claro pero has de saber bien que obteniendo la cadena de conexion de mi BD podria tener acceso a toda las tablas y las BD pudiendo manejarlo talves a su antojo me referiria la seguridad solo a la conexion a la BD que tan segura es o como hacer la manera de q la conexion sea segura

garkones · #6 (**permalink**) 24/01/2011, 12:13

Hola, el controlador JDBC de Microsoft SQL Server incluye funciones para cifrar la conexión mira aquí: http://technet.microsoft.com/es-es/l...SQL.90%29.aspx

En el código fuente de la aplicación no se debe incluir el usuario y contraseña en la URL de conexión, en especial si la aplicación es de escritorio o se debe entregar el código compilado, aquí tienes varias sugerencias: http://msdn.microsoft.com/es-es/libr...ql.100%29.aspx

Un Saludo.