1. Hogyan valósítható meg az adatok biztonságos tárolása?
Védett adatok tárolására az Advanced Security az átlátszó adattitkosítást (Transparent Data Encryption) használja. Segítségével az adatokat tárolás előtt titkosítjuk, így mentésre a más titkosított adat kerül. Átlátszó adattitkosításnak nevezzük, mert a felhasználó elől rejtve történik a kódolás, a dekódolásról is maga gondoskodik. A felhasználónak nem kell tudnia, mely oszlopok kerültek kódolásra.
2. Mik az átlátszó adattitkosítás (Transparent Data Encryption) előnyei?
· Nem szükséges alkalmazásokba beavatkozni, elég hálózati beállítások módosítása.
· A titkosítás az adatbázis-kezelőben történik, a felhasználók elől rejtve.
· Maga gondoskodik a titkosításhoz szükséges kulcsok generálásáról, és karbantartásáról.
· Védelmet nyújt az adathordozó eltulajdonítása esetén is, mivel a visszafejtéshez szükséges kulcsokat külön hardveren tároljuk.
3. Mi az átlátszó adattitkosítás hátránya?
A titkosítás során pluszköltségek jelennek meg mind a teljesítmény, mind a tárolt titkos adat méretét tekintve. Az előbbinél a titkosítás körülbelül 5%-os teljesítménycsökkenést jelent, az adatok tárigénye általánosságban 32-48B-tal növekszik oszloponként.
4. Milyen részekből épül fel az átlátszó adattitkosítás?
A titkosításra váró oszlopok kódolásához szükség van táblakulcsokra, ezek segítségével a titkosítás elvégezhető. A táblákhoz tartozó kulcsok titkosításához pedig a mesterkulcs vagy más néven főkulcs (Master-Key) áll rendelkezésre. Ezt a kulcsot külön tároljuk az adatbázistól, külső hardveren, amit tárcának (wallet) nevezünk. Nehezítésként a wallet elérése jelszóval történik. A táblákhoz tartozó kulcsokat az adatbázis Dictionary táblájában tárolja.
5. Melyek az átlátszó adattitkosítás előkészítő lépései?
A titkosításhoz először wallet létrehozására van szükség (ALTER SYSTEM jogosultsággal rendelkezve), amelyhez jelszót kell megadni. Ezt követően megnyitjuk a walletet, és létrehozzuk a mesterkulcsot. A wallet használatához a tárcát létrehozás után meg kell nyitni, anélkül nem érhető el a benne tárolt mesterkulcs. A mesterkulcs segítségével pedig a táblákhoz tartozó kulcsokat titkosíthatjuk.
6. Milyen titkosító algoritmusokat támogat az Advanced Security?
11.1-es Advanced Security támogatja a ma elérhető titkosító algoritmusokat, és kulcshosszakat (Korábbi verziók használata esetén „Domestic” kiadásra van szükség, amely ezeket tartalmazza):
· Az alap titkosító eljárás az AES (Advanced Encryption Standard), ezt használják az amerikai kormányszervek és cégek a hálózati adatforgalom biztonságához. Használt kulcshosszok 128, 192, 256 bit. Mindegyik CBC (Visszacsatolt blokk-kódolás) módban működik.
· DES (Data Encryption Standard) AES előtti standard volt sok évig.
· Triple-DES a DES eljárásai 3-szor egymás után. A magas fokú üzenetbiztonság ára a teljesítmény csökkenése. Ez a processzorok sebességén mérhető le, ami lecsökken a titkosítás miatt. Elérhető 2- vagy 3-kulcsos verziója, kulcshosszakra 112 vagy 168 bit a választható érték.
· RSA RC4 algoritmus nagy sebességű kódolás nemzetközi szabványa. Változó kulcshosszakat használ folyamkódoláshoz. Nagy adatátvitel minimális sebességingadozással. RC4 kivitelezés kulcshosszai 40, 56, 128, 256, hátra kompatibilis, erős titkosítás lényegi teljesítményváltozás nélkül.
7. Mikor nem használható az átlátszó adattitkosítás?
Nem használható külső kulcsot tartalmazó oszlop esetén, mivel minden tábla egyedi oszlop-kódoló kulccsal rendelkezik. Valamint a titkosítás folyamata az SQL rétegében történik, így azok a programok, melyek elkerülik ezt a réteget, nem alkalmazhatók az adattitkosítással együtt:
· B-fától eltérő indextípusok
· láncolt pásztázás indexek alapján
· külső nagy objektumok (BFILE) (Megj.: az Oracle 11g már támogatja a belső nagy objektumokat – BLOB, CLOB)
· megvalósított nézetnaplók
· egyidejű adatváltoztatás elfogása
· szállítandó táblahelyek
· eredeti ex-import programok
8. Mely Oracle verzióban használható az átlátszó adattitkosítás?
Az átlátszó adattitkosítás már a 10g-ben elérhető volt, a használatához a 10.2-es verziószám az alapkövetelmény. A 11.1-es verzió magasabb biztonságot jelent az átmeneti táblahelyeken végzett műveleteknél, mint pl. SORT, JOIN. Ekkor az adatok titkosítva maradnak. A 10.2-ről frissített 11.1 esetén a használatban tartott titkosítás esetén az ORACLE felajánlja az adatbázis 11.0.0 kompatibilitását, és a mesterkulcs visszaállítását.
9. Mit jelent a Salt, és mikor használható?
Salt használatakor az adathoz egy random karaktersorozatot adunk, majd a kapott karaktersorozatot titkosítjuk. Használata csak azon oszlopoknál engedélyezett, amelyeket nem látunk el indexeléssel. Ha titkosított oszlopot indexszel látunk el, a korábbi titkosítás többé nem alkalmazható.
Használata tovább erősíti az adatok biztonságát, mivel az azonos karaktersorozatok más kódszót kapnak, így lehetetlenné teszi a minta alapján történő visszafejtést.
10. Mesterkulcs létrehozására és karbantartására milyen lehetőségek vannak?
Mesterkulcs alap esetben egy random érték, de lehet egy PKI-tanúsítvány (Public Key Infrastructure – Nyilvános Kulcsú Infrastruktúra) által kijelölt aszimmetrikus kulcspár.
A jelenlegi kulcstároló vagy visszaállító rendszerek, a kulcshitelesítők a titkos kulcs egy verzióját tárolják, vagy információt, ami segít visszaállítani azt. Ha a privát kulcs elveszett, akkor a felhasználó az eredeti kulcsot, és a tanúsítvány visszaállítását a tanúsítvány hitelesítőtől kérheti. Általában ez a visszaállítás automatizált, és a felhasználónak csak bizonyos hitelesítési adatokat kell megadnia a tanúsítvány kiadója felé. TDE egyetlen feltételt szab, a kulcsnak és a tanúsítványnak meg kell felelnie a PKCS#12 szabványnak.
Egyik kulcstípus sem ad nagyobb biztonságot, ám a PKI-szolgáltatás lényegesen több rendszerben alapkövetelmény, mint a szimmetrikus titkosítás. Viszont a PKI kulcspár használata nagyobb teljesítménycsökkenést okozhat, ha a titkosított oszlopokhoz hozzáférnek.
