Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Шифрування бази даних використання технології шифрування для перетворення інформації що зберігається в базі даних БД в ш

Шифрування бази даних

Шифрування бази даних

Шифрування бази даних — використання технології шифрування для перетворення інформації, що зберігається в базі даних (БД), в шифротекст, що робить її прочитання неможливим для осіб, що не володіють ключами шифрування.

Прозоре шифрування бази даних

Прозоре шифрування бази даних (англ. Transparent Database Encryption, TDE) — технологія, яка застосовується, наприклад, у продуктах Microsoft і Oracle для шифрування і дешифрування вводу-виводу файлів БД. Дані шифруються перед записом на диск і дешифруються під час читання в пам'ять, що вирішує проблему захисту «неактивних» даних, але не забезпечує збереження інформації при передачі по каналах зв'язку або під час використання. Перевагою TDE є те, що шифрування і дешифрування виконуються прозоро для додатків, тобто їх модифікація не потрібна.

Реалізація Microsoft

TDE застосовується для файлів БД і журналу транзакцій на рівні сторінок. Сторінки шифруються за допомогою спеціального симетричного ключа шифрування бази даних (англ. Database Encryption Key), захищеного сертифікатом, який зберігається в БД master і шифрується її головним ключем, або асиметричним ключем, захищеним модулем розширеного керування ключами (англ. Extensible Key Manager, EKM). Застосування TDE не збільшує розмір зашифрованої БД і має незначний вплив на її продуктивність.

Реалізація Oracle

TDE застосовується для файлів БД на рівні стовпців. Для таблиці, що містить вибрані для шифрування стовпці, створюється симетричний ключ шифрування, захищений головним ключем, який зберігається в іншому місці за межами БД, званому гаманцем (англ. Wallet). Зашифровані ключі таблиць містяться в словнику даних (англ. Data Dictionary).

Шифрування на рівні стовпців

Шифрування на рівні стовпців (англ. Column-Level Encryption) на відміну від TDE, що шифрує БД повністю в реалізації Microsoft і окремі стовпці, але з однаковим ключем для всієї таблиці в реалізації Oracle, цей метод дозволяє шифрувати окремі стовпці з різними ключами, що забезпечує додаткову гнучкість при захисті даних. Ключі можуть бути призначені користувачам і захищені паролем для запобігання автоматичної розшифровки, однак це ускладнює адміністрування БД. При використанні шифрування на рівні стовпців необхідно внесення змін до клієнтських додатків. Крім цього зменшується продуктивність БД.

Шифрування файлової системи

Важливо зазначити, що традиційні методи шифрування баз даних зазвичай шифрують і дешифрують вміст БД, адміністрування якої забезпечується системою керування базами даних, що працює поверх операційної системи. Це зменшує захищеність інформації, так як зашифрована БД може бути запущена на відкритій або потенційно вразливій операційній системі. Наприклад, Microsoft використовує технологію шифрування файлової системи (англ. Encrypting File System, EFS), яка забезпечує шифрування на рівні файлів. Кожен об'єкт шифрується за допомогою унікального ключа шифрування файлів (англ. File Encryption Key), захищеного сертифікатом користувача. Цей сертифікат може бути складовим, що дає можливість отримати доступ до файлу більше ніж одному користувачеві. Через розширення сфери шифрування, використання EFS може знизити продуктивність і ускладнити адміністрування, так як системному адміністратору потрібно мати доступ до операційної системи для використання EFS.

Симетричне та асиметричне шифрування бази даних

Існує два основних способи шифрування інформації: симетричний та асиметричний. Головним принципом у них є те, що передавач і приймач заздалегідь знають алгоритм шифрування і ключ до повідомлення, без знання яких інформація являє собою безглуздий набір символів.

Симетричне шифрування

Симетричне шифрування (шифрування з закритим ключем) є найстарішим і найвідомішим методом. У контексті баз даних він включає в себе закритий ключ, який застосовується для шифрування та дешифрування інформації, що зберігається в БД і викликається з неї. Цей параметр змінює дані таким чином, що їх прочитання без розшифровки стає неможливим. Явним недоліком цього методу є те, що може статися витік конфіденційної інформації, якщо ключ виявиться у осіб, які не повинні мати доступ до даних. Однак використання лише одного ключа в процесі шифрування дає перевагу у вигляді швидкості і простоти застосування даної технології.

Асиметричне шифрування

Проблема потрапляння секретного ключа в чужі руки при передачі по каналах зв'язку, яку має шифрування з закритим ключем, вирішена в методі асиметричного шифрування (шифруванні з відкритим ключем), в якому є два пов'язаних між собою ключа — це пара ключів. Відкритий ключ відомий всім і може передаватися по незахищеному каналу зв'язку. У той час як другий, закритий ключ зберігається в таємниці і є унікальним для кожного користувача. Відкритий ключ використовується для шифрування даних, а закритий — для розшифрування. Асиметричне шифрування є більш безпечним, у порівнянні з симетричним, але в той же час воно істотно повільніше.

Хешування

Хешування (англ. hashing) використовується в якості методу захисту інформації. Алгоритм хешування генерує рядок певної довжини, звану геш-сумою, на основі введених даних або повідомлення. Хешування відрізняється від шифрування тим, що алгоритм є незворотнім, тобто не існує перетворення, що дозволяє отримати повідомлення із його хешу.

Шифрування на рівні додатків

Процес шифрування здійснюється додатком, який створює або змінює дані, тобто він відбувається перед записом в базу даних. Цей підхід є більш гнучким, так як з додатком відомі ролі або права доступу користувачів, а також інформація про те, які дані є конфіденційними.

Переваги

Одним з головних переваг шифрування, вбудованого в додаток, є те, що немає необхідності використовувати додаткове рішення для захисту даних при передачі по каналах зв'язку, так як вони відправляються вже зашифрованими. Ще одна перевага такого методу — це те, що крадіжка конфіденційної інформації стає складніше, так як зловмисник повинен мати доступ до додатка для того, щоб розшифрувати дані, що зберігаються в БД.

Недоліки

Для реалізації шифрування на рівні додатків необхідно внесення змін не тільки в сам додаток, але і в базу даних. Також можуть виникнути проблеми з продуктивністю БД, у якій, наприклад, пропадає можливість індексування і пошуку. Ще одним недоліком є управління ключами в системі з таким шифруванням. Так як кілька програм можуть використовувати БД, то ключі зберігаються у багатьох місцях, тому неправильне управління ними може призвести до крадіжки інформації або унеможливлення її використання. До того ж, якщо виникає необхідність зміни ключа, то для початку потрібно розшифрувати всі дані зі старим ключем, і потім знову зашифрувати, використовуючи новий ключ.

Див. також

Примітки

  1. Luc Bouganim, Yanli GUO. (PDF). www-smis.inria.fr. Архів оригіналу (PDF) за 17 квітня 2018. Процитовано 9 квітня 2018.
  2. . microsoft.com. Архів оригіналу за 24 березня 2017.
  3. . oracle.com. Архів оригіналу за 9 квітня 2018. Процитовано 9 квітня 2018.
  4. . enterprisedb.com. Архів оригіналу за 28 листопада 2016. Процитовано 9 квітня 2018.
  5. . microsoft.com. Архів оригіналу за 8 грудня 2017. Процитовано 9 квітня 2018.
  6. Дейт, 2005.
  7. Baccam, Tanya (April 2010). . Sans.org. SANS Institute. Архів оригіналу за 12 квітня 2018. Процитовано 25 жовтня 2015.
  8. . microsoft.com. Архів оригіналу за 13 вересня 2016. Процитовано 9 квітня 2018.
  9. Коробейников, 2004.
  10. . microsoft.com. Архів оригіналу за 15 жовтня 2017. Процитовано 9 квітня 2018.
  11. . microsoft.com. Архів оригіналу за 25 листопада 2017. Процитовано 9 квітня 2018.
  12. . thales-esecurity.com. Архів оригіналу за 3 серпня 2016.

Література

  • Дейт К. Дж. Введення в системи баз даних = Introduction to Database Systems. — 8-е изд. — М. : Вільямс, 2005. — 1328 с. — (рус.) 0-321-19784-4 (англ.).
  • Коробейников А. Г., Гатчин Ю. А. Математические основы криптографии. Учебное пособие. — СПб : СПб ГУ ИТМО, 2004. — 106 с.
  • Robert Morris, Ken Thompson. Password security: a case history. — Communications of the ACM, 1979. — Vol. 22, no. 11. — P. 594—597.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Shifruvannya bazi danih vikoristannya tehnologiyi shifruvannya dlya peretvorennya informaciyi sho zberigayetsya v bazi danih BD v shifrotekst sho robit yiyi prochitannya nemozhlivim dlya osib sho ne volodiyut klyuchami shifruvannya Prozore shifruvannya bazi danihProzore shifruvannya bazi danih angl Transparent Database Encryption TDE tehnologiya yaka zastosovuyetsya napriklad u produktah Microsoft i Oracle dlya shifruvannya i deshifruvannya vvodu vivodu fajliv BD Dani shifruyutsya pered zapisom na disk i deshifruyutsya pid chas chitannya v pam yat sho virishuye problemu zahistu neaktivnih danih ale ne zabezpechuye zberezhennya informaciyi pri peredachi po kanalah zv yazku abo pid chas vikoristannya Perevagoyu TDE ye te sho shifruvannya i deshifruvannya vikonuyutsya prozoro dlya dodatkiv tobto yih modifikaciya ne potribna Realizaciya Microsoft TDE zastosovuyetsya dlya fajliv BD i zhurnalu tranzakcij na rivni storinok Storinki shifruyutsya za dopomogoyu specialnogo simetrichnogo klyucha shifruvannya bazi danih angl Database Encryption Key zahishenogo sertifikatom yakij zberigayetsya v BD master i shifruyetsya yiyi golovnim klyuchem abo asimetrichnim klyuchem zahishenim modulem rozshirenogo keruvannya klyuchami angl Extensible Key Manager EKM Zastosuvannya TDE ne zbilshuye rozmir zashifrovanoyi BD i maye neznachnij vpliv na yiyi produktivnist Realizaciya Oracle TDE zastosovuyetsya dlya fajliv BD na rivni stovpciv Dlya tablici sho mistit vibrani dlya shifruvannya stovpci stvoryuyetsya simetrichnij klyuch shifruvannya zahishenij golovnim klyuchem yakij zberigayetsya v inshomu misci za mezhami BD zvanomu gamancem angl Wallet Zashifrovani klyuchi tablic mistyatsya v slovniku danih angl Data Dictionary Shifruvannya na rivni stovpcivShifruvannya na rivni stovpciv angl Column Level Encryption na vidminu vid TDE sho shifruye BD povnistyu v realizaciyi Microsoft i okremi stovpci ale z odnakovim klyuchem dlya vsiyeyi tablici v realizaciyi Oracle cej metod dozvolyaye shifruvati okremi stovpci z riznimi klyuchami sho zabezpechuye dodatkovu gnuchkist pri zahisti danih Klyuchi mozhut buti priznacheni koristuvacham i zahisheni parolem dlya zapobigannya avtomatichnoyi rozshifrovki odnak ce uskladnyuye administruvannya BD Pri vikoristanni shifruvannya na rivni stovpciv neobhidno vnesennya zmin do kliyentskih dodatkiv Krim cogo zmenshuyetsya produktivnist BD Shifruvannya fajlovoyi sistemiVazhlivo zaznachiti sho tradicijni metodi shifruvannya baz danih zazvichaj shifruyut i deshifruyut vmist BD administruvannya yakoyi zabezpechuyetsya sistemoyu keruvannya bazami danih sho pracyuye poverh operacijnoyi sistemi Ce zmenshuye zahishenist informaciyi tak yak zashifrovana BD mozhe buti zapushena na vidkritij abo potencijno vrazlivij operacijnij sistemi Napriklad Microsoft vikoristovuye tehnologiyu shifruvannya fajlovoyi sistemi angl Encrypting File System EFS yaka zabezpechuye shifruvannya na rivni fajliv Kozhen ob yekt shifruyetsya za dopomogoyu unikalnogo klyucha shifruvannya fajliv angl File Encryption Key zahishenogo sertifikatom koristuvacha Cej sertifikat mozhe buti skladovim sho daye mozhlivist otrimati dostup do fajlu bilshe nizh odnomu koristuvachevi Cherez rozshirennya sferi shifruvannya vikoristannya EFS mozhe zniziti produktivnist i uskladniti administruvannya tak yak sistemnomu administratoru potribno mati dostup do operacijnoyi sistemi dlya vikoristannya EFS Simetrichne ta asimetrichne shifruvannya bazi danihIsnuye dva osnovnih sposobi shifruvannya informaciyi simetrichnij ta asimetrichnij Golovnim principom u nih ye te sho peredavach i prijmach zazdalegid znayut algoritm shifruvannya i klyuch do povidomlennya bez znannya yakih informaciya yavlyaye soboyu bezgluzdij nabir simvoliv Simetrichne shifruvannya Simetrichne shifruvannya shifruvannya z zakritim klyuchem ye najstarishim i najvidomishim metodom U konteksti baz danih vin vklyuchaye v sebe zakritij klyuch yakij zastosovuyetsya dlya shifruvannya ta deshifruvannya informaciyi sho zberigayetsya v BD i viklikayetsya z neyi Cej parametr zminyuye dani takim chinom sho yih prochitannya bez rozshifrovki staye nemozhlivim Yavnim nedolikom cogo metodu ye te sho mozhe statisya vitik konfidencijnoyi informaciyi yaksho klyuch viyavitsya u osib yaki ne povinni mati dostup do danih Odnak vikoristannya lishe odnogo klyucha v procesi shifruvannya daye perevagu u viglyadi shvidkosti i prostoti zastosuvannya danoyi tehnologiyi Asimetrichne shifruvannya Problema potraplyannya sekretnogo klyucha v chuzhi ruki pri peredachi po kanalah zv yazku yaku maye shifruvannya z zakritim klyuchem virishena v metodi asimetrichnogo shifruvannya shifruvanni z vidkritim klyuchem v yakomu ye dva pov yazanih mizh soboyu klyucha ce para klyuchiv Vidkritij klyuch vidomij vsim i mozhe peredavatisya po nezahishenomu kanalu zv yazku U toj chas yak drugij zakritij klyuch zberigayetsya v tayemnici i ye unikalnim dlya kozhnogo koristuvacha Vidkritij klyuch vikoristovuyetsya dlya shifruvannya danih a zakritij dlya rozshifruvannya Asimetrichne shifruvannya ye bilsh bezpechnim u porivnyanni z simetrichnim ale v toj zhe chas vono istotno povilnishe HeshuvannyaHeshuvannya angl hashing vikoristovuyetsya v yakosti metodu zahistu informaciyi Algoritm heshuvannya generuye ryadok pevnoyi dovzhini zvanu gesh sumoyu na osnovi vvedenih danih abo povidomlennya Heshuvannya vidriznyayetsya vid shifruvannya tim sho algoritm ye nezvorotnim tobto ne isnuye peretvorennya sho dozvolyaye otrimati povidomlennya iz jogo heshu Shifruvannya na rivni dodatkivProces shifruvannya zdijsnyuyetsya dodatkom yakij stvoryuye abo zminyuye dani tobto vin vidbuvayetsya pered zapisom v bazu danih Cej pidhid ye bilsh gnuchkim tak yak z dodatkom vidomi roli abo prava dostupu koristuvachiv a takozh informaciya pro te yaki dani ye konfidencijnimi Perevagi Odnim z golovnih perevag shifruvannya vbudovanogo v dodatok ye te sho nemaye neobhidnosti vikoristovuvati dodatkove rishennya dlya zahistu danih pri peredachi po kanalah zv yazku tak yak voni vidpravlyayutsya vzhe zashifrovanimi She odna perevaga takogo metodu ce te sho kradizhka konfidencijnoyi informaciyi staye skladnishe tak yak zlovmisnik povinen mati dostup do dodatka dlya togo shob rozshifruvati dani sho zberigayutsya v BD Nedoliki Dlya realizaciyi shifruvannya na rivni dodatkiv neobhidno vnesennya zmin ne tilki v sam dodatok ale i v bazu danih Takozh mozhut viniknuti problemi z produktivnistyu BD u yakij napriklad propadaye mozhlivist indeksuvannya i poshuku She odnim nedolikom ye upravlinnya klyuchami v sistemi z takim shifruvannyam Tak yak kilka program mozhut vikoristovuvati BD to klyuchi zberigayutsya u bagatoh miscyah tomu nepravilne upravlinnya nimi mozhe prizvesti do kradizhki informaciyi abo unemozhlivlennya yiyi vikoristannya Do togo zh yaksho vinikaye neobhidnist zmini klyucha to dlya pochatku potribno rozshifruvati vsi dani zi starim klyuchem i potim znovu zashifruvati vikoristovuyuchi novij klyuch Div takozhSimetrichni kriptosistemi Kriptosistema z vidkritim klyuchemPrimitkiLuc Bouganim Yanli GUO PDF www smis inria fr Arhiv originalu PDF za 17 kvitnya 2018 Procitovano 9 kvitnya 2018 microsoft com Arhiv originalu za 24 bereznya 2017 oracle com Arhiv originalu za 9 kvitnya 2018 Procitovano 9 kvitnya 2018 enterprisedb com Arhiv originalu za 28 listopada 2016 Procitovano 9 kvitnya 2018 microsoft com Arhiv originalu za 8 grudnya 2017 Procitovano 9 kvitnya 2018 Dejt 2005 Baccam Tanya April 2010 Sans org SANS Institute Arhiv originalu za 12 kvitnya 2018 Procitovano 25 zhovtnya 2015 microsoft com Arhiv originalu za 13 veresnya 2016 Procitovano 9 kvitnya 2018 Korobejnikov 2004 microsoft com Arhiv originalu za 15 zhovtnya 2017 Procitovano 9 kvitnya 2018 microsoft com Arhiv originalu za 25 listopada 2017 Procitovano 9 kvitnya 2018 thales esecurity com Arhiv originalu za 3 serpnya 2016 LiteraturaDejt K Dzh Vvedennya v sistemi baz danih Introduction to Database Systems 8 e izd M Vilyams 2005 1328 s ISBN 5 8459 0788 8 rus 0 321 19784 4 angl Korobejnikov A G Gatchin Yu A Matematicheskie osnovy kriptografii Uchebnoe posobie SPb SPb GU ITMO 2004 106 s Robert Morris Ken Thompson Password security a case history Communications of the ACM 1979 Vol 22 no 11 P 594 597

Дата публікації:
Топ