Vamos dar uma olhada nos riscos que você está enfrentando:
-
Um hacker invade seu servidor e rouba todo o banco de dados. Azar, neste caso, as referências criptografadas não ajudarão muito, já que o hacker provavelmente também teve acesso à chave. Mesmo se você federar completamente os dados, por exemplo, para centros de dados diferentes, e o hacker obtém apenas a parte 'anônima' dos dados, esses registros médicos provavelmente conterão nome, seguro e/ou outros dados de identificação. Mesmo que não, há pesquisas que mostram que é quase impossível anonimizar dados (exemplos:gráficos de amigos anônimos, perfis de dispositivos)
-
Um hacker invade seu site e obtém acesso a dados fora da conta dele Como seu servidor deve ser capaz de lidar com a lógica de desreferenciamento e deve ter acesso a ambos os armazenamentos de dados para desempenhar sua função, esse método não adicionará segurança. No entanto, como você está usando uma tecnologia de servidor completamente nova para você, as chances de ter falhas de segurança em seu software são altas...
-
O disco falha e você perde parte dos dados ou a chave Nesse caso, você terá mais trabalho a fazer do que se recuperar de um cenário semelhante sem referências criptografadas.
Tornar os aplicativos da Web seguros se resume a uma possibilidade e meia:tornar o próprio sistema o mais robusto possível usando padrões de codificação seguros, testes de penetração, prevenção de intrusão, autenticação de dois fatores, etc., etc. e/ou usar criptografia do lado do cliente. Este último parece a arma definitiva, mas está repleto de seus próprios perigos. Receio que não haja bala de prata [que eu possa pensar].
