*.configの暗号化のバックアップ(No.5) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
*.configの暗号化へ行く。
- 1 (2017-04-14 (金) 17:43:56)
- 2 (2017-04-14 (金) 18:38:14)
- 3 (2018-02-15 (木) 19:42:50)
- 4 (2019-02-19 (火) 11:47:10)
- 5 (2019-02-19 (火) 14:47:57)
- 6 (2019-04-07 (日) 06:48:35)
- 7 (2020-05-15 (金) 14:26:38)
- 8 (2020-07-02 (木) 17:56:49)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- .NET config
- セキュリティ

目次 †

概要 †

.NET の config

DevPartner?の解析結果で気がついたのだけど、
\*.configのRSA 暗号化はconnectionStringSection?以外も可能らしい。

対象 †

ファイル †

Machine.config †

マシンの設定

Web.config †

ASP.NET のWebアプリケーション毎の設定

app.config(*.exe.config) †

app.configのビルド出力が、*.exe.configになる。

任意の*.configファイル †

appSettingsSection?を切り出した*.configなど。

Section †

通常、暗号化の必要な機密情報を収めたSectionをaspnet_regiis.exeで暗号化。

appSettings †

カスタムアプリケーションの設定

connectionStrings †

DBMSなどへの、接続文字列

identity †

偽装資格情報

sessionState †

セッション状態プロバイダ用の接続文字列

暗号化できないSection †

以下のSectionは通常、暗号化が出来ない。
- processModel
- runtime
- mscorlib
- startup
- system.runtime.remoting
- configProtectedData?
- satelliteassemblies
- cryptographySettings
- cryptoNameMapping?
- cryptoClasses

ただし、aspnet_setreg.exe ツールを使用すれば暗号化が可能。

例
- ASP.NET ユーティリティを使用して資格情報およびセッション状態の接続文字列を暗号化する方法
  https://support.microsoft.com/ja-jp/help/329290/how-to-use-the-asp.net-utility-to-encrypt-credentials-and-session-state-connection-strings

方法 †

以下の方法で暗号化できる。

プロバイダ †

CNGのプロパイダを使用している模様。

キーコンテナ（鍵コンテナ） †

CNGキーコンテナ（鍵コンテナ）を使用する。

このため、キーコンテナ（鍵コンテナ）のアクセス権云々でハマることがある模様。

また、開発サーバから運用サーバへのデプロイのシナリオ、
Web ファームでの RSA 暗号化シナリオでは、
カスタムの RSA 暗号鍵をエクスポート＆インポートすることで対応する。

参考
- web.configの暗号化 | どっとねっとふぁん
  https://blogonos.wordpress.com/2006/02/23/web-config%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96/

RSAProtectedConfigurationProvider? †

既定のプロバイダ
RSA 公開鍵暗号化を使用して、データの暗号化と暗号化解除

DPAPIProtectedConfigurationProvider? †

Windows データ保護 API (DPAPI) を使用して、データの暗号化と暗号化解除

ツール、API †

aspnet_regiisコマンドライン・ツール †

web.configしか暗号化出来ない（ディレクトリ指定しかサポートしない）ので、
\*.configを対象とする場合は、web.configにリネームしてaspnet_regiisで暗号化処理をする。

参考
- 構成セクションの暗号化と複合化
  https://msdn.microsoft.com/ja-jp/library/zhhddkxy.aspx
- チュートリアル : 保護された構成を使用した構成情報の暗号化
  https://msdn.microsoft.com/ja-jp/library/dtkwfdky.aspx

API（自作プログラム） †

SectionInformation?.ProtectSection?メソッド、Configuration.Saveメソッドを使用する。

ASP.NETから
- ASP.NETの構成ファイルを暗号化する: ある SE のつぶやき
  http://fnya.cocolog-nifty.com/blog/2009/05/aspnet-a98d.html

Installerから
- yan note: .NET　構成ファイルapp.configの暗号化
  http://yan-note.blogspot.jp/2010/06/netappconfig.html

MSDN ライブラリ > .NET 開発 > .NET Framework 4.6 and 4.5 > .NET Framework クラスライブラリ
- Configuration.Save メソッド (System.Configuration) https://msdn.microsoft.com/ja-jp/library/ms134087.aspx
- SectionInformation?.ProtectSection? メソッド (String) (System.Configuration)
  https://msdn.microsoft.com/ja-jp/library/system.configuration.sectioninformation.protectsection.aspx

参考 †

msdn †

How To: RSA を使用して ASP.NET 2.0 内の構成セクションを暗号化する方法
https://msdn.microsoft.com/ja-jp/library/ff650304.aspx

その他 †

むりせず♪なまけず？～ぷろくらすてぃねいたーの言い訳雑記～
- 構成ファイルの暗号化／復号化
  - （前編）
    http://blogs.wankuma.com/carbonara/archive/2009/03/28/170316.aspx
  - （中編）
    http://blogs.wankuma.com/carbonara/archive/2009/03/30/170434.aspx
  - （後編）
    http://blogs.wankuma.com/carbonara/archive/0001/01/01/170475.aspx
  - （補足）
    http://blogs.wankuma.com/carbonara/archive/2009/04/08/170991.aspx

Tags: :.NET開発, :セキュリティ, :暗号化