При использовании асимметричных криптоалгоритмов возникает проблема распространения множества открытых ключей, которая решается с помощью построения Инфраструктуры Открытых Ключей (Public Key Infrastructure – PKI), на основе базы данных цифровых сертификатов.

Симметричные ключи используются как для шифрования данных, так и для шифрования других ключей. При шифровании симметричными ключами отправитель и получатель имеют один и тот же ключ. Главное преимущество такого подхода состоит в том, что производительность шифрования и дешифрования гораздо выше, чем при использовании асимметричных ключей. Данные при использовании симметричного ключа шифруются и дешифруются быстро, и он вполне подходит для повседневной защиты конфиденциальных данных, хранящихся в базе данных. Обычно в серверах БД встроена реализация нескольких наиболее распространенных и надежных симметричных алгоритмов, как блочных, так и поточных: DES, Triple_DES, Triple_DES_3KEY, DESX, RC2, RC4, RC4_128, AES с ключами длиной 128 (Rijndael), 192 и 256 бит.

Сертификаты - это по существу асимметричные ключи, которые содержат дополнительные метаданные. Эти метаданные включают в себя такую информацию, как время окончания и центр сертификации, выдавший данный сертификат. В случае если необходимо удостовериться в том, что отправитель или получатель данных является тем за кого себя выдает, сертификаты помогают решить эту проблему. Центры сертификации создают сертификат со своей подписью, который отправляется тому пользователю, который его заказал. Когда он будет использовать этот сертификат для отправки данных, получатель сможет проверить его в центре сертификации и удостовериться в подлинности отправителя. Отличие сертификатов от ключей состоит в задании промежутка времени, в течение которых они действуют и уникальных метаданных, указывающих на владельца сертификата.

Существуют самозаверительные сертификаты. Например, в своих последних версиях MS SQL Server автоматически создает самозаверительный сертификат при своем первом запуске. Этот сертификат используется для шифрования подключения при выполнении аутентификации MS SQL Server.

TDE (Transparent Data Encryption) - прозрачное шифрование данных. Прозрачное шифрование данных (TDE) является особым случаем шифрования с использованием симметричного ключа. TDE шифрует базу данных, используя симметричный ключ, который называется ключом шифрования базы данных. Ключ шифрования базы данных защищен другими ключами или сертификатами, которые, в свою очередь, защищаются главным ключом базы данных или асимметричным ключом, хранящимся в модуле расширенного управления ключами. Когда данные записывается из оперативной памяти на диск, они шифруются. Когда данные загружаются обратно в оперативную память, они расшифровываются. Таким образом, данные на диске оказываются зашифрованными, а в оперативной памяти – нет. Основным преимуществом TDE является то, что шифрование и дешифрование выполняются абсолютно прозрачно для приложений. Шифрование и дешифрование файлов данных и журналов транзакций в операциях ввода-вывода выполняется в реальном времени.

---

Перечисленные методы шифрования можно применять на различных уровнях организации данных. Можно шифровать базу данных целиком, отдельные таблицы (сущности) или же применять шифрование к отдельным столбцам (атрибутам).

Правила, которыми удобно руководствоваться при использовании криптографической защиты в серверах БД:

- для получения наиболее сложной или длинной цепочки бинарного кода шифрованного текста следует использовать длинные ключи шифрования;

- использование в ассиметричном шифровании пары ключей (в сравнении с симметричным шифрованием, у которого используется только один ключ) повышает сложность криптоанализа для злоумышленника;

- блочные шифры надежнее поточных шифров;

- зашифровать можно сжатые данные, но невозможно сжать зашифрованные данные. Такая особенность шифровального процесса требует от пользователя в случае работы с большим объемом данных производить их архивацию до применения шифрования;

- ассиметричное шифрование замедляет работу системы, поэтому для шифрования большого количества данных его лучше не использовать. Для этой цели хорошо подходит симметричное шифрование;

- длинные сложные пароли надежнее, чем короткие пароли.

Рассмотрим пример использования специальных функций шифрования Transact-SQL в сервере баз данных MS SQL Server для шифрования столбцов таблицы (атрибутов сущности) при вставке новых строк в таблицу.

Согласно сформулированным выше правилам выбираем симметричное шифрование AES для шифрования самих данных. Поэтому нужно создать симметричный ключ, который будет использоваться для шифрования. Но для повышения криптостойкости шифра, зашифруем симметричный ключ ассиметричным ключом. Для этого создаем асимметричный ключ AKey1 (используем RSA_2048 и пароль '12(EVG3abc') следующей командой:

CREATE ASYMMETRIC KEY AKey1 WITH ALGORITHM =RSA_2048

ENCRYPTION BY PASSWORD='12(EVG3abc'

Выбираем симметричный алгоритм шифрования из существующих в базе - это алгоритм Triple_DES и создаем симметричный ключ для шифрования данных, зашифрованный асимметричным ключом AKey1:

CREATE SYMMETRIC KEY SKey1 WITH ALGORITHM=TRIPLE_DES

ENCRYPTION BY ASYMMETRIC KEY AKey1

Теперь в базе данных имеется ключ SKey1, который можно использовать для непосредственного шифрования данных. Чтобы шифрование символьного значения атрибута Atr1 происходило автоматически при каждой вставке новой строки в таблицу TAB1, создадим триггер типа INSERT (триггер INS1):

---

CREATE TRIGGER INS1 ON TAB1 WITH ENCRYPTION FOR INSERT

AS

BEGIN

-- ключ открывается

OPEN SYMMETRIC KEY SKey1

DECRYPTION BY ASYMMETRIC KEY AKey1

WITH PASSWORD = '12(EVG3abc'

DECLARE @krypt1 varbinary(MAX),

@var1 varchar(30),

@order_id numeric(6,0)

--вводимые данные идентифицируются и шифруются

SELECT @krypt1 = ENCRYPTBYKEY(KEY_GUID (' SKey1'), Atr1),

@order_id = OrderID FROM inserted

SET @ var1 = CAST(@krypt1 as varchar(30))

--данные в столбце Atr1 таблицы TAB1 заменяются на полученный код

UPDATE TAB1 SET Atr1 = @var1 WHERE OrderID = @order_id

--ключ закрывается

CLOSE SYMMETRIC KEY SKey1

END

В триггере функция ENCRYPTBYKEY шифрует вставляемое значение Atr1 и выдает результат в виде бинарного кода, который преобразуется в символьный тип и вставляется в столбец Atr1.

Временная переменная @order_id используется для идентификации вставляемой строки. Код ключа в явном виде указывается в тексте триггера, что делает процедуру уязвимой. Исключить эту уязвимость можно, зашифровав сам триггер. Функция WITH ENCRYPTION шифрует код самого триггера. Теперь код триггера будет недоступен.

Аналогично, через триггеры или хранимые процедуры можно реализовать шифрование при изменении данных в таблице, при выборке данных. Шифрование с применением специальных функций, для сокрытия симметричного ключа шифрования данных, использует двухуровневую иерархию ключей. В технологии прозрачного шифрования для надежности ключей применяется гораздо более сложная иерархия ключей.

Например, в MS SQL Server она строится следующим образом: для каждой базы данных, которая шифруется с помощью TDE, создается специальный ключ

- Database Encryption Key (DEK). Этот ключ используется для шифрования данных;

- Database Encryption Key (DEK) шифруется сертификатом, который должен быть заранее создан в БД master;

- этот сертификат шифруется главным ключом БД master;

- главный ключ БД master (Data Master Key - DMK) шифруется главным ключом службы (Service Master Key или SMK);

- главный ключ службы (SMK) шифруется с помощью DPAPI (Datа Protection API).

Такая схема позволяет MS SQL Server в любой момент времени получить доступ к ключу, которым зашифрована БД, а, следовательно, и к зашифрованным данным. Самым слабым звеном тут является главный ключ службы (SMK), который находится на вершине иерархии ключей и который защищается с помощью DPAPI. Он создается автоматически при первой необходимости, но его можно изменять, резервировать и восстанавливать. Все остальные ключи и сертификаты должны создаваться.

В других серверах БД иерархия ключей технологии прозрачного шифрования имеет некоторые отличия.

---

Рассмотренные встроенные криптографические средства взаимно дополняют друг друга и являются неотъемлемой частью комплексной защиты баз данных, без которых невозможно организовать надежную защиту данных.

happylook.ru

РЕКЛАМА

Меняем старое на новое. Скидка на оправы 50%. Линзы 25%.

ЕСТЬ ПРОТИВОПОКАЗАНИЯ. ПОСОВЕТУЙТЕСЬ С ВРАЧОМ

instep46.ru

РЕКЛАМА

Квартиры с выгодой до 406 000 ? в новом доме от Инстеп!

Яндекс Игры

РЕКЛАМА

•

6+

Сделайте перерыв! Сыграйте в «Будешь моей девушкой?»

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями: vkontakte icon odnoklasniki icon twitter icon facebook icon


что вам нужно еще найти?

Читайте также

Список терминов и определений — Студопедия

05.08.2020

Тема лекции: «Государственные и воинские символы России» — Студопедия

29.06.2020

Классификация разрезов — Студопедия

12.04.2020

Лабораторная работа № 10. — Студопедия

21.05.2020

С++ для бэкэнда - 120 часов теории и практики

Реклама

•

16+

practicum.yandex.ru

Установите соответствие между характеристиками и экосистемами — Студопедия

30.06.2020

Задание 1. Равновесие в композиции. — Студопедия

25.05.2020

Пройдите тест по «Королю и Шуту» и получите Яндекс Плюс

Реклама

mrqz.me

Рекомендательный виджет РСЯ

Прямо сейчас студенты читают про:

Тема 1.2. Функциональное зонирование городов Одним из основных принципов рациональной территориальной организации города является его функциональное зонирование...

Техническое обслуживание и текущий ремонт трансмиссии Техническое обслуживание сцепления. При ЕО проверяют: действие сцепления при трогании автомобиля с места и переключении передач...

Понятия метода, приёма и средства обучения. Классификация методов обучения. Выбор методов обучения Успех образовательного процесса во многом зависит от применяемых методов обучения...

СПОРТИВНАЯ ТРЕНИРОВКА КАК МНОГОЛЕТНИЙ ПРОЦЕСС этапы 1. Начальной подготовки 2. Начальной специализации 3. Углубленного спортивного совершенствования 4. Высших достижений 5....

Конституционные (уставные) суды субъектов РФ. Конституционный (уставный) суд создается субъектом Российской Федерации...

?

---

Смотрите также файлы

• Тест Умеете ли Вы выступать Отвечать на вопросы нужно да или нет.docx

• Выпускная квалификационная работа шарков Алексей Демьянович.docx

• Решению органа опеки и попечительства.docx

• Актуальность Проблемы мотивации работников предприятий остаются в настоящее время очень актуальными, так как от правильно разработанной системы мотивации зависят результаты деятельности предприятий,.ppt

• Задание Раскройте сущность и роль контроля и ревизии в управлении экономикой. Дайте развернутый ответ объемом 1 стр.docx