Encryption hauv MySQL: Master Key Rotation

Nyob rau hauv kev cia siab ntawm qhov pib ntawm qhov kev tso npe tshiab rau chav kawm "Database" Peb txuas ntxiv tshaj tawm cov kab lus hais txog kev encryption hauv MySQL.

Hauv tsab xov xwm dhau los hauv cov koob no peb tau tham txog, Master Key encryption ua haujlwm li cas?Niaj hnub no, los ntawm peb txoj kev paub dhau los, peb yuav los saib qhov kev sib hloov ntawm cov yuam sij master.

Kev hloov pauv tus yuam sij master suav nrog kev tsim tus yuam sij master tshiab thiab rov encrypt cov yuam sij tablespace (khaws cia rau hauv cov headers tablespace) nrog tus yuam sij tshiab no.

Cia peb rov qab nco qab tias lub header ntawm ib qho encrypted tablespace zoo li cas:

Encryption hauv MySQL: Master Key Rotation

Los ntawm tsab xov xwm dhau los, peb paub tias lub server nyeem cov headers ntawm txhua qhov chaw encrypted tablespaces thaum pib thiab nco qab qhov loj tshaj plaws KEY ID. Piv txwv li, yog tias peb muaj peb lub rooj nrog KEYID = 3 thiab ib lub rooj nrog KEYID = 4, ces tus lej siab tshaj plaws ntawm tus yuam sij ID yuav yog 4. Cia peb hu qhov no ua tus lej tseem ceeb - tus lej tseem ceeb tshaj plaws.

Kev tig tus yuam sij master ua haujlwm li cas?

1. Tus neeg siv ua ALTER INNODB MASTER KEY.

2. Tus neeg rau zaub mov thov kom tus keyring los tsim ib tus master key tshiab nrog tus neeg rau zaub mov UUID thiab KEYID sib npaug rau MAX ntxiv rau ibTSEEM CEEBID. Yog li, peb tau txais tus cim tseem ceeb, uas sib npaug rau INNODBKEY-UUID- (MAXTSEEM CEEBID + 1). Yog tias tus yuam sij master tau tsim tiav lawm, tus MAX KEY ID yuav nce ntxiv ib qho (piv txwv li MAXTSEEM CEEBID = MAXTSEEM CEEBID + 1).

3. Tus neeg rau zaub mov luam theej txhua qhov chaw ntawm lub rooj uas tau encrypted nrog tus yuam sij master, thiab rau txhua qhov chaw ntawm lub rooj:

  • encrypts tus yuam sij tablespace nrog tus yuam sij tshiab;

  • hloov kho tus yuam sij ID mus rau MAX tshiabTSEEM CEEBDaim ID;

  • Yog tias UUID txawv ntawm lub server UUID, ces hloov kho lub server UUID.

Raws li peb paub, tus lej Master Key ID siv los decrypt lub rooj muaj UUID thiab KEY ID nyeem los ntawm lub header tablespace. Qhov peb ua tam sim no yog hloov kho cov ntaub ntawv no hauv lub header encryption tablespace kom lub server tau txais tus lej master key raug.

Yog tias peb muaj cov tablespaces uas tau txais los ntawm ntau qhov chaw sib txawv, xws li cov backups sib txawv, lawv yuav siv cov master keys sib txawv. Tag nrho cov master keys no yuav tsum tau txais los ntawm lub keystore thaum lub server pib. Qhov no tuaj yeem ua rau lub server pib qeeb, tshwj xeeb tshaj yog tias siv lub server-side keystore. Nrog rau kev hloov pauv master key, peb rov encrypt cov tablespace keys nrog ib tus master key uas zoo ib yam rau txhua lub tablespaces. Tam sim no, lub server tsuas yog xav tau txais ib tus master key thaum pib.

Qhov no, tau kawg, tsuas yog ib qho txiaj ntsig zoo xwb. Lub hom phiaj tseem ceeb ntawm kev hloov pauv tus yuam sij master yog ua kom peb lub server muaj kev nyab xeeb dua. Yog tias tus yuam sij master raug nyiag los ntawm qhov chaw cia khoom (piv txwv li, los ntawm Vault Server), tus yuam sij master tshiab tuaj yeem tsim tau thiab cov yuam sij tablespace rov encrypted, ua rau tus yuam sij raug nyiag tsis raug. Peb muaj kev nyab xeeb ... yuav luag.

Hauv tsab xov xwm dhau los, kuv tau tham txog yuav ua li cas, tom qab tus yuam sij tablespace raug nyiag, ib tus neeg thib peb tuaj yeem siv nws los decrypt cov ntaub ntawv, yog tias lawv muaj kev nkag mus rau lub disk. Yog tias tus yuam sij master raug nyiag thiab lawv muaj kev nkag mus rau cov ntaub ntawv encrypted, lawv tuaj yeem siv tus yuam sij master raug nyiag los decrypt tus yuam sij tablespace thiab rov qab tau cov ntaub ntawv decrypted. Raws li peb tuaj yeem pom, kev tig tus yuam sij master tsis pab hauv qhov no. Peb rov encrypt tus yuam sij tablespace nrog tus yuam sij master tshiab, tab sis tus yuam sij tiag tiag siv los encrypt / decrypt cov ntaub ntawv tseem zoo li qub. Yog li ntawd, "hacker" tuaj yeem txuas ntxiv siv nws los decrypt cov ntaub ntawv. Kuv tau hais ua ntej tias Percona Server rau MySQL tuaj yeem ua qhov tseeb tablespace re-encryption, tsis yog tsuas yog yooj yim tablespace key re-encryption. Qhov feature no hu ua encryption threads. Txawm li cas los xij, qhov functionality no tam sim no tseem yog qhov kev sim.

Kev tig tus yuam sij Master yog qhov muaj txiaj ntsig thaum tus yuam sij master raug nyiag, tab sis tus neeg tawm tsam tsis muaj txoj hauv kev los siv nws thiab decrypt cov yuam sij tablespace.

Sau npe rau kev qhia demo dawb.

Nyeem ntxiv:

Tau qhov twg los: www.hab.com

Yuav txhim khu kev qha hosting rau cov chaw nrog DDoS tiv thaiv, VPS VDS servers πŸ”₯ Yuav lub vev xaib hosting txhim khu kev qha nrog kev tiv thaiv DDoS, VPS VDS servers | ProHoster