良い一日、
この質問が SO または SF に適しているかどうかはわかりません...
PCI コンプライアンスでは、キーを毎年ローテーションする必要があります。私が遭遇し続ける「キーのローテーション」の定義は、データを復号化し、新しいキーで再暗号化することです。本当に?誰もが毎年、暗号化されたデータをすべて復号化/暗号化していますか?
現在、3 台のサーバーにまたがる 16 のデータベースがあり、各データベースに複数のテーブルがあります。これは今後も増え続けるでしょう。これを手動で行うと、間違いが発生する可能性が非常に高くなり、データが読み取れなくなります。はい、これを行うために何かを書くことはできます...しかし、これは本当にみんながしていることですか? 手頃な価格の (主観的なものですが) サードパーティのツールをお勧めできますか?
階層の上位にあるキーを「変更」することについて、いくつかの提案を見てきました。私たちは、データを暗号化する対称キーを暗号化する証明書を暗号化するデータベース マスター キーのよく推奨される階層を使用します。
まず、これは「キーのローテーション」の定義を満たしていないようです。第二に、DMK または Cert を変更しても、おそらく悪者が盗んだりクラックしたりしたのと同じ対称キーでデータが復号化されるのを防ぐことはできません。
ありがとう!