私のシナリオでは、非対称キーを暗号化するために対称キーを使用します。後者は、選択された人々の輪だけが利用できるはずの機密データを暗号化するために使用されます。
対称キーはパスワードで暗号化されており、このキーを開くためにすべてのパスワードだけで十分であるように、このキーに複数のパスワードを設定する可能性が必要です。
を使用して既存の対称鍵にパスワードを追加できる可能性があることを知っています
ALTER KEY MySymKey ADD ENCRYPTION BY PASSWORD = 'newpasswd'
問題は、パスワードによる新しい暗号化を追加することですでにそれが行われており、ここにあるすべてのパスワードでそれが開かれるかどうか、またはキーが新しいパスワードによって追加で暗号化されているだけで、すべてのパスワードおよび/または他の暗号化データ (証明書、その他) を提供する必要があるかどうかです。キーなど)このキーを開くには?
後者が当てはまる場合、同じ対称キーの複数の複製を作成するにはどうすればよいですか?ただし、パスワードは異なります。
対称鍵を使用して非対称鍵を暗号化します
これがタイプミスであり、別の方法で行っていることを本当に願っています。正しい階層暗号化は常に、データを暗号化するための対称キーと、暗号化キーを暗号化するための証明書/非対称キーです。
あなたの質問について: キーに新しい暗号化を追加しても、以前の暗号化は削除されません。複数のパスワードをキーに追加できます。ただし、例から判断すると、パスワードを対称キーに追加することを計画していますが、これはおそらく正しくありません。
階層が重要である理由は、次の 2 つの要因によって決まります。
対称キー暗号化は高速ですが、非対称キー暗号化は非常に低速です。したがって、直接のデータ暗号化は、常に対称キーである高速キーによって行われます。
データ暗号化キーは定期的に変更して、衝突の可能性を減らし、多くの分析攻撃を軽減し、キーを紛失した場合に露出する表面を減らす必要があります。これは、単にキーを変更し、新しいデータを新しいキーで暗号化することによって行われます (古いデータを再暗号化することは禁止されているだけでなく、キー ローテーションの利点を無効にします)。新しいキーは、ユーザー証明書/非対称キー/パスワードで暗号化されるため、使用できるようになります。
時間をかけて関連する MSDN の記事を読んでください (上記のリンクから始めてください)。これは非常に簡単に台無しになり、「完全な暗号化」になってしまいます (つまり、データを復号化できなくなります)。 )またはさらに悪いことに、鍵の管理と階層が明らかに壊れているという事実を難読化する多くの煙とミラー.