Opened 6 years ago

Closed 6 years ago

#727 closed defect (fixed)

Kreditkarten verschlüsselung ist veraltet

Reported by: Karl Herre Owned by: d.schmitzer
Priority: blocker Milestone:
Component: Core Version:
Keywords: Funktionsfehler Cc:

Description

https://forum.maennchen1.de/viewtopic.php?f=25&t=10021&p=60862#p60862
https://www.php.net/manual/de/function.mcrypt-create-iv.php

Change History (3)

comment:1 by Karl Herre, 6 years ago

Summary: Kreditkarten verschlüsselug ist veraltetKreditkarten verschlüsselung ist veraltet

comment:2 by d.schmitzer, 6 years ago

  • Also ich habe das Kreditkartenmodul überarbeitet
  • Dabei sind mir zwei Sachen aufgefallen:
    • Modul war von Bankeinzug kopiert (Es gab unnötige Funktionen, die ich entfernt habe)
    • Einstellungen die nicht gespeichert wurden und unnötig sind habe ich entfernt (z.B. IBAN statt BIC verwenden?)
    • Es wurden die mcrypt Funktionen verwendet die ab 7.1. entfernt wurden
    • Ich hab auf openssl_encrypt / openssl_decrypt umgestellt
    • Ich hatte überlegt was mit bestehenden Daten passiert .... dann ist mir aufgefallen, das die Entschlüsselung überhaupt nicht eingebaut ist.
    • Das war zum Glück Hartmut, es sieht so aus als ob er Bankeinzug kopiert hat. Dort wird ja nicht verschlüsselt und nur die verschlüsselung eingebaut.

Hab alles nochmal durchgetestet.

  • Daten sind verschlüsselt mit AES-256-CBC
  • Der IV und der Algorithmus sind in den Feldern gespeichert
  • Entschlüsselung für das Bestellbackend eingebaut
  • Ich habe die Spalten auf Blob umgestellt, damit ich die Rückgabe von encrypt korrekt speichern kann. (Wollte auf base64 entfernen)

comment:3 by Karl Herre, 6 years ago

Resolution: fixed
Status: newclosed
Note: See TracTickets for help on using tickets.