0

最近、ラップトップが盗まれたり紛失したりした場合に開発者のラップトップのローカル データベースを保護するために、SQL Server 2008 に透過的データ暗号化を実装しました。これはうまくいきます。

現在、証明書を毎日期限切れにする方法を見つけようとしています。自動化されたプロセス (ログオン時のスクリプトなど) を強制的にネットワーク パスに移動させ、1 日後に有効期限が切れる新しい証明書を取得します。これにより、不測の事態が発生した場合、データは翌日には使用できなくなります。

暗号化プロバイダーの使用も調べましたが、「プロバイダー」はないようです。たぶん私は間違っています。

私は提案を受け入れます。より良い方法があれば教えてください。ありがとう!

4

5 に答える 5

3

短い答え: いいえ

長い答え: メッセージ (データの一部) が暗号化されると、復号化アルゴリズムが適用される時間に関係なく、同じキーが同じ暗号化されたメッセージを復号化します。キーが毎日変更される場合、データは古いキーで復号化され、新しいキーで再暗号化される必要があります。このプロセスが発生しない場合 (つまり、誰かが再暗号化を実行するコードの一部を停止した場合)、古いキーは引き続き機能します。日付を確認する暗号化プロバイダーを作成したとしても、他の誰かが最初に日付を確認せずに復号化を実行する新しいプロバイダーを作成できます。

于 2008-10-14T01:17:03.817 に答える
1

違います!SQL Server 2008 の暗号化に使用できるオプションがあります。ここTownsendSecurity.com でデータベース暗号化ソリューションをチェックしてください。Townsend の Alliance AES 暗号化は、NIST 認定のソリューションであり、医療、クレジット カード、および銀行業務に関する規制に準拠できます。また、Alliance AES 暗号化に関するホワイト ペーパーも参照してください。

データベース アプリケーションで機密データを扱う企業は、データを暗号化して損失から保護したいと考えています。機密データを保護することで、顧客の信頼とロイヤルティが向上し、法的責任が軽減され、データ セキュリティの規制要件を満たすことができます。機密情報を含む可能性のあるデータベースの例としては、Oracle データベース、IBM DB2、Microsoft SQL Server、MySQL、および Microsoft Access があります。使用される可能性のあるディスクまたはフォルダの暗号化テクノロジに関係なく、実際のデータは暗号化して損失を防ぐ必要があります

完全開示: 私は Townsend Security のインターンです。

于 2011-03-31T16:11:16.947 に答える
1

T は、動機ではなく質問に対処します。派生テンプレート (1 日で期限切れになるように設定) を使用して Microsoft CA をセットアップし、その証明書テンプレートでの自動登録も許可する場合。次に、SQL マシンを、自動登録を使用するディレクトリ内の OU の一部になるように設定できます (Technet は、グループ ポリシーの使用が必要なリソースを提供します)。そうすれば、証明書の有効期限が切れると、マシンは自動的に新しい証明書を要求します。

http://windowsitpro.com/article/articleid/40948/windows-server-2003-pki-certificate-autoenrollment.html

マーク

于 2008-10-17T12:59:14.583 に答える
0

おっしゃる通りです。あなたが求めているのは暗号化プロバイダーであり、まだ存在しないというのはあなたの言うとおりです。

11 月に PASS Summit に参加する場合は、Microsoft の JC Cannon に相談してください。彼はコンプライアンスに関するセッションを行っており、SQL Server コンプライアンス グループの責任者です。彼は、現在暗号化プロバイダーの構築に取り組んでいるベンダーと関係があり、ベンダー名についてあなたと話すことができるかもしれません. 現在、彼らは誰がそれを行っているかを公表するために公に出ていません.

于 2008-10-19T01:03:41.857 に答える
0

追加の詳細がなければ、データが紛失または盗難された場合に TDE セットアップがどのようにデータを保護するかを理解できません。

ディスク全体の暗号化 (Bitlocker、Truecrypt などを使用) を使用していない場合、ハードウェアを物理的に所有している攻撃者は、ローカル管理者パスワードを簡単にリセットし、ラップトップを起動して、ローカル管理者の資格情報を使用して SQL Server インスタンスにアクセスできます。 . その時点で、私はデータベース サーバーのシステム管理者であり、必要なデータを抽出したり、TDE をオフにしたりできます。

さらに、暗号化キーと証明書はすべてローカルに保存されるため、デバイスを物理的に所有している攻撃者がそれらにアクセスするのは比較的簡単です。TDE は、データベース暗号化キー プロテクター (マスター データベースに格納されている) を暗号化されたデータベースから物理的に分離する場合にのみ、データ保護に意味があります。

ディスク全体の暗号化を使用している場合、TDE を使用しても攻撃者に対して追加の抑止力は提供されず、開発者のラップトップのシステム パフォーマンスに悪影響を与えるだけです。

于 2008-10-15T19:11:50.123 に答える