Szyfrowanie hierarchii
SQL Server szyfruje dane z szyfrowanie hierarchiczną i klucz zarządzania infrastrukturą.Każda warstwa szyfruje warstwy poniżej przy użyciu kombinacji certyfikaty i klucze asymetryczne kluczy symetrycznych.Klucze asymetryczne i kluczy symetrycznych mogą być przechowywane poza SQL Server w module zarządzania klucza rozszerzonego (EKM).
Na następującej ilustracji pokazano szyfruje warstwy znajdujące się poniżej każdą warstwę szyfrowanie hierarchii i wyświetla najbardziej typowe konfiguracje szyfrowanie.Dostęp do początku hierarchii jest zwykle chroniony hasłem.
.gif "Wyświetla niektóre kombinacje szyfrowania na stosie.")
Należy pamiętać następujące pojęcia:
Aby uzyskać najlepszą wydajność szyfrować dane za pomocą kluczy symetrycznych zamiast certyfikaty lub klucze asymetryczne.
Klucze główne bazy danych są chronione przez usługę klucza głównego.Usługi klucza głównego jest tworzony przez SQL Server instalacji i jest szyfrowany z Windows API ochrony danych (DPAPI).
Możliwe są inne hierarchie szyfrowanie układania dodatkowe warstwy.
Moduł zarządzania klucza rozszerzonego (EKM) przechowuje klucze symetryczne lub asymetryczne spoza programu SQL Server.
Szyfrowanie danych przezroczyste (TDE) należy użyć klucz zawartości, nazywane klucza szyfrowania bazy danych, która jest chroniona przez certyfikat chroniony przez klucz główny bazy danych z baza danych master lub klucza asymetrycznego, przechowywane w EKM.
Usługi klucza głównego i wszystkich kluczy głównych bazy danych są kluczy symetrycznych.
Ilustracja przedstawia te same informacje w sposób alternatywnych.
.gif "Wyświetla niektóre kombinacje szyfrowania w formie koła.")
Ten diagram ilustruje następujące pojęcia dodatkowych:
Na tej ilustracji strzałki oznaczają wspólne hierarchie szyfrowanie.
EKM kluczy symetrycznych i asymetrycznych można chronić dostęp do kluczy symetrycznych i asymetrycznych przechowywane w SQL Server.Linia kropkowana skojarzonych z EKM wskazuje, że klucze w EKM na zastępują kluczy symetrycznych i asymetrycznych przechowywane w SQL Server.
Mechanizmy szyfrowania
SQL Server udostępnia następujące mechanizmy szyfrowanie:
Transact-SQL funkcje
Klucze asymetryczne
Kluczy symetrycznych
Certyfikaty
Przezroczyste szyfrowanie danych
Funkcje języka Transact-SQL
Indywidualne elementy można zaszyfrować, są wstawiane lub zaktualizowane przy użyciu Transact-SQL funkcji.Aby uzyskać więcej informacji, zobacz ENCRYPTBYPASSPHRASE (Transact-SQL) i DECRYPTBYPASSPHRASE (Transact-SQL).
Certyfikaty
Certyfikat klucza publicznego, zazwyczaj nazywany po prostu certyfikatem, jest cyfrowo podpisaną instrukcja która wiąże wartość klucza publicznego z tożsamością osoby, urządzenia lub usługa, która ma odpowiedni klucz prywatny.Certyfikaty są wystawione i podpisane przez urząd certyfikacji (CA).obiekt , Otrzymuje certyfikat z urzędu certyfikacji jest przedmiotem tego certyfikatu.Zazwyczaj certyfikaty zawierają następujące informacje.
Klucz publiczny z podmiotem.
Informacje identyfikujące temat, takie jak nazwa i adres e-mail.
Okres ważności.Jest to długość czas że certyfikat jest uznawany za ważny.
Certyfikat jest ważny tylko na czas określony; Każdy certyfikat zawiera Ważny od i Ważny do daty.Daty te zestaw granice okresu ważności.Po upływie okresu ważności certyfikatu, nowy certyfikat musi wymagane przez podmiot wygasłego certyfikatu.
Informacje identyfikujące wystawcę.
Podpis cyfrowy wystawcy.
Tego podpisu zaświadcza o ważności powiązanie między publicznego klucz oraz informacje identyfikujące podmiotu.(Proces cyfrowego podpisywania informacji wymaga przekształcenia informacji, jak również pewnych tajnych informacji przez nadawcę, w tagu określanym jako podpis).
Podstawową zaletą certyfikatów jest ich przejmując od hostów potrzebę utrzymania zestaw haseł dla poszczególnych tematów.Zamiast tego host tworzy jedynie relację zaufania wystawca certyfikat, który następnie może podpisać nieograniczoną liczbę certyfikat.
Host, taki jak bezpieczny serwer sieci Web, wyznacza wystawcę jako zaufany główny urząd, host domyślnie ufa zasady, które wykorzystał wystawca do ustanowienia powiązań go wystawia certyfikaty.W efekcie host ufa, że wystawca sprawdził tożsamość podmiotu certyfikat.Host wyznacza wystawcę jako zaufany główny urząd umieszczając podpisany przez siebie certyfikat wystawcy, który zawiera klucz publiczny wystawcy, do zaufanych główny magazyn certyfikat urzędu certyfikacji hosta.Pośrednie lub podrzędne urzędy certyfikacji są zaufane, tylko jeśli posiadają prawidłowa ścieżka certyfikacji z zaufanego głównego urzędu certyfikacji.
Emitent może odwołać certyfikat, przed jej wygaśnięciem.Odwołania anuluje powiązanie klucz publicznego do tożsamości, potwierdzonego w certyfikat.Każdy wystawca prowadzi listę odwołania certyfikat, które mogą być używane przez programy podczas sprawdzania ważności danego certyfikat.
Certyfikatów z podpisem własnym utworzony przez SQL Server Wykonaj X.509 standard i obsługują pól v1 X.509.
Klucze asymetryczne
klucz asymetrycznego składa się z klucz prywatnego i odpowiedniego klucz publicznego.Każdy klucz może odszyfrować dane zaszyfrowane przez drugą.Asymetryczne szyfrowanie i odszyfrowywania są stosunkowo dużej ilości zasób, ale zapewniają wyższy poziom zabezpieczeń niż szyfrowanie symetrycznego.klucz zawartości Może być używany do szyfrowania klucz zawartości do przechowywania w bazie danych.
Kluczy symetrycznych
klucz zawartości jest jeden klucz, który jest używany do szyfrowanie i odszyfrowywania.Szyfrowanie i odszyfrowywanie za pomocą klucz zawartości jest szybkie i odpowiednie do rutynowego stosowania z ważnymi danymi w bazie danych.
Przezroczyste szyfrowanie danych
Szyfrowanie danych przezroczyste (TDE) jest szczególnym przypadkiem przy użyciu szyfrowania klucz zawartości.Cała baza danych, która szyfruje TDE klucz zawartości , nazywany kluczem szyfrowanie bazy danych.Klucz szyfrowanie bazy danych jest chroniona przez innych klawiszy lub certyfikaty, które są chronione przez bazę danych klucza głównego lub klucza asymetrycznego, przechowywane w module EKM.Aby uzyskać więcej informacji, zobacz Opis przezroczystego szyfrowania danych (TDE).
Zobacz także