Oracle、SQL Server、およびASP.NETの間でハッシングを実装する方法

Question

ASP.NET Webサイトで使用するために、OracleサーバーからSQL Serverに機密データを取得する必要があります。そのパスワードを言うことができます。私たちのセキュリティ担当者は、これらのパスワードはすべてのステップで保護される必要があると言います。私のウェブサイトでは、ユーザー入力をこれらのパスワードと比較できる必要があります。これらのパスワードは夜間にOracleサーバーからSQL Serverに転送する必要があり、その日のSQL Serverでのみ使用できます。

最高の解決策は、私がOracle上でパスワードをハッシュし、ハッシュをSQL Serverに渡す必要があるということです。（これは私の仕事ではないので、両者の間の接続は安全です。次に、私のASP.NET Webアプリケーションは、入力ハッシュとデータベースハッシュを比較できるように、ユーザー入力に対して正確に同じハッシュを実装できる必要があります。

私の質問は、Oracleと.NETで同じアルゴリズム/キー/ソルトを使用して何かをハッシュできますか？私は.NETのハッシュ関数を使用する方法を知っていますが、私はオラクルでこれと同等のものを使うことができないのでしょうか？ASP.NETからSQL Serverにプレーンテキストでそれらを渡し、それは簡単ですが、 "プランB"と呼ぶことができます。

Answer 1

データストアにはハッシュ値が格納されている必要があります。asp.net側では、文字列をハッシュに変換するmd5関数を実装し、次にdbのハッシュ値と比較する必要があります。

http://docs.oracle.com/cd/B19306_01/appdev.102/b14258/d_obtool.htm#i1003449

OracleはあなたがASP.netだけでなく、SQLサーバーに渡すと実装することができますMD5ハッシュを、使用する能力を持っています。

SQL ServerのMD5

http://www.lazerwire.com/2011/10/ms-sql-md5-hash.html

ASP.net MD5

public string CalculateMD5Hash(string input) 
{ 
    // step 1, calculate MD5 hash from input 
    MD5 md5 = System.Security.Cryptography.MD5.Create(); 
    byte[] inputBytes = System.Text.Encoding.ASCII.GetBytes(input); 
    byte[] hash = md5.ComputeHash(inputBytes); 

    // step 2, convert byte array to hex string 
    StringBuilder sb = new StringBuilder(); 
    for (int i = 0; i < hash.Length; i++) 
    { 
     sb.Append(hash[i].ToString("X2")); 
    } 
    return sb.ToString(); 
}