Может стоит сначала понять: а нужно ли вообще шифровать? И какой алгоритм выбрать? Например, если это приложение находится на машине у конечного пользователя, то, быть может, имеет смысл просто сделать XOR с фиксированой маской, и не заморачиваться с более сложными алгоритмами шифрования, ведь получить данные соединения можно элементрано установив сниффер. Или, например, приложение находится на сервере, доступ к которому имеет только один человек, быть может тоже не стоит тратить свои силы на шифрование данных: даже если зашифровать данные наиболее стойким ассиметричным алгоритмом, то администратор, например, может вытащить секретный ключ прямо из assembly и расшифровать данные...


Другое дело, если приложение находится у множества конечных пользователей, но не соединяется напрямую с БД, а передает защифрованые данные серверному приложению, которое данные расшифровывает и выполняет соединение, тогда, скорее всего, действительно понадобится данные шифровать криптостойкими алгоритмами. И то надо смотреть на все это дело с точки зрения экономической целесообразности: какие затраты уйдут на разработку/поддержку и какие убытки/затраты могут быть если вдруг злоумышленник узнает логин/пароль и воспользуется данной информацией...

По поводу шифрации конфига: есть стандарт XML Encryption, который позволяет шифровать отдельные ноды xml-документа, поэтому если одним конфигом пользуются несколько различных приложений, не обязательно в каждое из них встраивать декриптер, достаточно будет модифицировать только те, которым нужно знать расшифрованое значение этой ноды. XML Encryption вроде как поддерживается в .Net 2.0, но насколько корректно — не знаю. Есть и компоненты сторонних производителей, которые поддерживают сей стандарт, пару лет назад для подписи/шифрации XML-документов сам использовал такой ActiveX — компонент, который предоставлял все необходимые security-функции.

---

данное сообщение получено с www.gotdotnet.ru
ссылка на оригинальное сообщение