criptografar-proteger string de conexão do banco de dados - windows forms

Question

Olá, estou tentando proteger o código de um software e usei o DotFuscator  do visual studio 2008 2x no mesmo arquivo .exe. Porém observei que consegui ler a string de conexão do banco de dados. Pensei em criptograr a string usando Rijndael e uma chave. Alguém tem uma idéia sobre isto?

obs: Detalhe usei uma ferramenta para fazer a engenharia reversa do código e transformando o código intermediário em código cs fica ainda mais visível as string fixas do código, o que facilita o entendimento do código (mesmo estando obfuscado).

---

Paulo Moreira

Answer 1

Olá,

Essa string encontra-se no código-fonte?
Existem versões do DotFuscator (pagas penso eu) que permite encriptar as strings de forma a não serem visíveis nesses casos.

Deves considerar remover esses dados do código, passando por exemplo para o app.config.

Desta forma, podes consultar este site para te ajudar a proteger esses dados:

http://www.nickfessel.com/index.php?post=13

Espero ter ajudado,
Comprimentos

Answer 2

Olá,

Essa string encontra-se no código-fonte?
Existem versões do DotFuscator (pagas penso eu) que permite encriptar as strings de forma a não serem visíveis nesses casos.

Deves considerar remover esses dados do código, passando por exemplo para o app.config.

Desta forma, podes consultar este site para te ajudar a proteger esses dados:

http://www.nickfessel.com/index.php?post=13

Espero ter ajudado,
Comprimentos

Então... mas me diga uma coisa, o arquivo de app.config fica amostra e permite que qualquer pessoa veja qual é o algoritmo usado e pelo que percebi no exemplo do artigo mostra informações da chave usada para criptografar os dados. Neste caso não fica fácil fazer a descriptografia?

---

Paulo Moreira

Answer 3

Olá Paulo,

Não é algo 100% seguro, mas não é tão simples quanto saber o algoritmo. É necessário saber a chave, que dependendo do tipo de nível (utilizador ou máquina) pode estar em:

Utilizador:
\Documents and Settings\{UserName}\Application Data\Microsoft\Crypto\RSA

Máquina:
\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

Um maior conhecedor da matéria irá saber recuperar a informação da connectionString. Mas acho que podes confiar, é o suficiente para proteger os dados.

Espero ter ajudado,
Cumprimentos.

Answer 4

Olá Paulo,

Não é algo 100% seguro, mas não é tão simples quanto saber o algoritmo. É necessário saber a chave, que dependendo do tipo de nível (utilizador ou máquina) pode estar em:

Utilizador:
\Documents and Settings\{UserName}\Application Data\Microsoft\Crypto\RSA

Máquina:
\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

Um maior conhecedor da matéria irá saber recuperar a informação da connectionString. Mas acho que podes confiar, é o suficiente para proteger os dados.

Espero ter ajudado,
Cumprimentos.

Olá Elohim, obrigado pelas respostas está ajudando sim. Então, mas sabe como a chave é armazenda? é ela criptografada?

Porque sabendo o local onde fica a chave é so abrir o arquivo e usar o método de descriptografia passando a chave... correto?

abraço
Paulo Moreira

---

Paulo Moreira

Answer 5

Olá,

Sim, a chaves são encriptadas.

Um excelente artigo sobre isso pode ser encontrado aqui .

Obrigado pelas palavras :).

Cumprimentos