Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

Funkcje kryptograficzne SQL Server 2016

Data publikacji: 02-09-2016 Autor: Marcin Szeliga

W pierwszej części artykułu przedstawione zostały budowa i zasada działania algorytmów kryptograficznych wykorzystywanych w serwerze SQL Server 2016. W tej części przyjrzymy się praktycznym przykładom ich zastosowania do zarządzania kluczami i szyfrowania danych.

Jak SQL Server zarządza kluczami kryptograficznymi? Podstawowa zasada kryptografii głosi, że szyfrogram jest co najwyżej tak bezpieczny jak jego klucz deszyfrujący. Innymi słowy, jeśli atakujący uzyska dostęp do klucza, siła użytego do zaszyfrowania danych algorytmu kryptograficznego przestaje mieć jakiekolwiek znaczenie. Co więcej, atak z użyciem poprawnego klucza jest bardzo trudny do wykrycia, bo nie zostawia żadnych podejrzanych śladów. Dlatego tak ważne dla bezpieczeństwa całego systemu jest korzystanie z wbudowanych funkcji zarządzania kluczami serwera SQL Server 2016. Pozwalają one chronić klucze w taki sposób, że operacje kryptograficzne mogą być wykonywane automatycznie, bez wiedzy użytkowników. Co więcej, skorzystanie z niektórych dostępnych w edycji Enterprise funkcji kryptograficznych nie wymaga również żadnych zmian aplikacji klienckich.

> Hierarchia kluczy

Klucz kryptograficzny może być chroniony (zaszyfrowany) innym kluczem. W ten sposób osoba lub program, który ma dostęp do jednego klucza, może go użyć do odszyfrowania innych kluczy. Utworzona w ten sposób hierarchia kluczy znacznie ułatwia bezpieczne nimi zarządzanie.

Klucz SMK

W przypadku serwera SQL Server na szczycie tej hierarchii znajduje się generowany podczas instalowania serwera główny klucz usługi SMK (Service Master Key). Klucz ten, po zaszyfrowaniu algorytmem AES, zapisywany jest w bazie master (systemowej bazie danych przechowującej katalog serwera, czyli zbiór informacji o serwerze i zainstalowanych na nim bazach danych).

SELECT name, algorithm_desc, key_length FROM sys.symmetric_keys;
name algorithm_desc key_length
##MS_ServiceMasterKey## AES_256 256

Klucz pozwalający odszyfrować klucz SMK jest chroniony przez podsystem Windows DPAPI (Data Protection API). Jedna jego kopia zapisywana jest w magazynie komputera, a druga – w magazynie użytkownika, z uprawnieniami którego działa usługa serwera SQL. Podczas każdego uruchomienia serwera SQL sprawdzana jest poprawność obu zaszyfrowanych kopii klucza i jeżeli jedna z nich okaże się niedostępna, zostanie odtworzona na podstawie drugiej, poprawnej kopii.

Dzięki temu klucz SMK może być automatycznie odszyfrowany, ale tylko w środowisku oryginalnego systemu operacyjnego. Oznacza to, że po podłączeniu dysku, na którym zainstalowany jest serwer SQL, do innego komputera klucz SMK pozostanie zaszyfrowany. Ponadto zmiana konta, na którym działa serwer SQL, powinna być wykonana wyłącznie za pomocą narzędzia SQL Server Configuration Manager – w ten sposób najpierw klucz SMK zostanie automatycznie odszyfrowany, następnie zaszyfrowany hasłem chroniącym nowe konto, a dopiero potem konto serwera zostanie zmienione.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"