Drehung des TDE-Hauptschlüssels

7

Erfordert das Ändern des TDE-Hauptschlüssels (DB-Hauptschlüssel und / oder DB-Verschlüsselungsschlüssel) immer eine Entschlüsselung und erneute Verschlüsselung? Wenn nicht, ab welcher Version konnten Sie mit SQL Server den Hauptschlüssel ändern und mussten nicht entschlüsseln / neu verschlüsseln?

Mein Hintergrund liegt in Oracle, das TDE etwas anders behandelt.

LewW
quelle

Antworten:

10

Erfordert das Ändern des TDE-Hauptschlüssels immer eine Entschlüsselung und Neuverschlüsselung? Der DB-Hauptschlüssel und / oder der DB-Verschlüsselungsschlüssel.

Die beiden wichtigsten Geheimnisse von TDE sind der Datenbankverschlüsselungsschlüssel (DEK) und das Serverzertifikat. Das DEK verschlüsselt und entschlüsselt die Daten in der Datenbank tatsächlich, aber das Serverzertifikat wird verwendet, um (unter anderem bereits betroffene Schutzmaßnahmen) den Datenbankverschlüsselungsschlüssel (DEK) zu schützen.

Auf Ihre Frage: Wenn Sie das DEK drehen, müssen Sie alle Daten in der Datenbank entschlüsseln und verschlüsseln, da dies der Schlüssel ist.

Wenn Sie jedoch das Serverzertifikat drehen, das das DEK schützt, muss keine Datenverschlüsselung oder -entschlüsselung der physischen Datenbank stattfinden.

Es spielt keine Rolle, welche Version oder welche Art von Software Sie verwenden. Wenn Sie Daten mit einem asymmetrischen Schlüsselpaar verschlüsseln und zu einem anderen asymmetrischen Schlüsselpaar wechseln möchten, müssen Sie die Daten zunächst mit dem alten Schlüsselsatz entschlüsseln und mit verschlüsseln das neue.

Sean Gallardy - Benutzer im Ruhestand
quelle