質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.84%

  • C#

    6285questions

    C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

  • Visual Studio

    1621questions

    Microsoft Visual StudioはMicrosoftによる統合開発環境(IDE)です。多種多様なプログラミング言語に対応しています。

  • WPF

    641questions

    Windows Presentation Foundation (WPF) は、魅力的な外観のユーザー エクスペリエンスを持つ Windows クライアント アプリケーションを作成するための次世代プレゼンテーション システムです

  • SQLite

    563questions

    SQLiteはリレーショナルデータベース管理システムの1つで、サーバーではなくライブラリとして使用されている。

  • 暗号化

    73questions

    ネットワークを通じてデジタルデータをやり取りする際に、第三者に解読されることのないよう、アルゴリズムを用いてデータを変換すること。

[C#]DBファイルのセキュリティについて

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 205

yyokii

score 23

 前提

・C#
・Visual Studio 2017
・WPFアプリ

 詳細

WPFアプリを作成しており、このアプリではローカルにSQLiteを持っています
→ APPData配下に.dbファイルを保有しており読み書きが可能です  

加えて、セキュリティー面を考慮してDBファイルを以下のようにして暗号化しようと思っています。

using (SQLiteConnection connection = new SQLiteConnection()) {
    connection.ConnectionString = "Data Source=[ファイルパス]"
    connection.Open();
    connection.ChangePassword([設定するパスワード]);
}

そこでなのですが、この暗号化の際に設定するパスワード(復号化のために必要なキー)はどのように持っておくのがセキュリティ的に良いのでしょうか??

var pass = "1234"


みたいに持っておくのは危うそうな気がして避けたいなあ、と思っているのですが他のアイデアがなく、

・皆さんならどのようにするのか
・また、(もしご経験があれば、)DBの中身を見られたくないときどんな対応をしたのか

をお聞きしたいです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

修正

以下の通り質問のコードでは暗号化されないと書きましたが、実際には暗号化されていました。
DB の接続パスワードを変えただけで DB 全体が暗号化されるという発想がなかったので、調査不足でした。

DB は暗号化されてパスワードで保護されますが、パスワード自身を保存するには EFS という手段もあろうかと思います。


質問のコードではそもそも DB は暗号化されていません。
接続用パスワードを変更しているだけです。
したがってバイナリエディタなどで見れば中のデータを盗むことができます。

SQLiteの暗号化

Windows だと仮定しますが、例えば Windows へのログインパスワードが盗まれてあなたのアカウントが乗っ取られたという事態を想定するなら、パスワードを毎回キーボードから入力する以外に保護する方法は無いと思います。
自動的にどこかから取得するのであれば、あなたができるなら盗んだ人にもできることだからです。

Windows のアカウントは無事と仮定するなら、EFS を使うという手があります。

Windows® の機能を使いフォルダごとファイルを暗号化する方法。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/23 12:19

    いつも回答ありがとうございます!非常に勉強になっております。

    >質問のコードではそもそも DB は暗号化されていません。
    >接続用パスワードを変更しているだけです。
    >したがってバイナリエディタなどで見れば中のデータを盗むことができます。

    この点に関して自分の考えと相違していたので、確認したいのですが、

    ・ChangePasswordはパスワードが設定されていれば、パスワードを変更し、
    設定されていなければ新たに設定する
    (参考:https://stackoverflow.com/questions/12190672/can-i-password-encrypt-sqlite-database?utm_medium=organic&utm_source=google_rich_qa&utm_campaign=google_rich_qa)
    ・例えば、以下の参考URLにもあるように、SQLiteでパスワードを設定した場合、暗号化される
    http://d.hatena.ne.jp/indication/20170228/1488283560

    という認識でいたので、質問したコードで暗号化されている、と思っていたのですが
    これは間違いでしょうか?

    キャンセル

  • 2018/04/23 15:13

    誤ったことを書きました。
    調査したところ、パスワードを作成することで DB 全体が暗号化することを確認しました。
    すみませんでした。

    キャンセル

  • 2018/04/23 15:23

    返信ありがとうございます!
    確認が取れて良かったです!

    キャンセル

+2

ローカルで動くアプリケーションである以上、絶対に見られたくないというのは不可能だと思います。
C#はデコンパイルが容易であり、暗号化して保管しておいたところでその暗号化、復号アルゴリズムすら明け透けになり、パスワードを平文で保持しておく状態とほとんど変わらないと考えていいでしょう。
対策として考えられるのはソースをコンパイル時に難読化してくれるツールやC#、Javaなどの中間言語としてコンパイルする言語ではなくC++などのネイティブコードでアプリ配布出来る言語を選択することです。
ですが、最初にも述べたようにローカルで実行される以上、絶対はないと思ってください。時間をかければ必ずパスワードは露呈します。

回答としては、その見られたくないデータの程度により、変化しますが
・パスワードは平文でソースコードに直書きする
・直書きした上で難読化する
・サーバ・クライアント方式にして見られたくないデータはサーバで管理する
となります。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.84%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • C#

    6285questions

    C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

  • Visual Studio

    1621questions

    Microsoft Visual StudioはMicrosoftによる統合開発環境(IDE)です。多種多様なプログラミング言語に対応しています。

  • WPF

    641questions

    Windows Presentation Foundation (WPF) は、魅力的な外観のユーザー エクスペリエンスを持つ Windows クライアント アプリケーションを作成するための次世代プレゼンテーション システムです

  • SQLite

    563questions

    SQLiteはリレーショナルデータベース管理システムの1つで、サーバーではなくライブラリとして使用されている。

  • 暗号化

    73questions

    ネットワークを通じてデジタルデータをやり取りする際に、第三者に解読されることのないよう、アルゴリズムを用いてデータを変換すること。