Re: Encryption et PG

Bonjour,

Le 02/07/2014 10:07, Rodolphe Quiédeville a écrit :
> Salut,
>
> Mieux vaut tard que jamais, mais merci à vous trois pour ces liens, j'ai
> lu vos pointeurs, et pense me diriger vers dm-crypt qui semble le plus
> adapté à mon contexte.
>
>
J'ai un peu de mal à comprendre en quoi dm-crypt va pouvoir améliorer la
confidentialité des données dans la base PostgreSQL.

Les données sur le disque vont être chiffrées mais, lors de l'accès à ce
FS une passphrase va être fournie et, tant que le serveur tournera (ou
que le volume chiffré ne sera pas explicitement fermé), l'accès aux
données déchiffrées sera possible (moyennant les droits Unix sur les
fichiers). La seule protection apportée par dm-crypt concerne, sauf
erreur de la part, le vol des disques : pour pouvoir accéder aux
données, il faut connaître la passphrase? Ça peut donc être intéressant
sur un PC portable mais ça reste d'un intérêt limité sur un serveur
(sans parler de l'inévitable perte de performance).
Sans compter que chiffrer le volume postgres ne sert à rien si, par
aillleurs, on ne chiffre pas également les sauvegardes (dump, sauvegarde
à chaud) de la base.

Je pense qu'une bonne solution serait de chiffrer les données sensibles
(colonnes sensibles) dans la base (avec pgcrypto) mais je ne crois pas
que cela soit possible de façon transparente au niveau de l'application
cliente (quelqu'un pour confirmer ?).

--
Jean-Jacques

--
Envoi via la liste pgsql-fr-generale (pgsql-fr-generale(at)postgresql(dot)org)