In antecessum initium novae dilectionis ad cursum Articulorum de encryption in MySQL seriem edere pergimus.
In praecedenti articulo in hac serie tractavimus . Hodie, ex cognitione antea quaesita, rotationem praecipuarum clavium inspiciamus.
Magister clavem rotationis implicat generare novum dominum clavem et re-encryptas clavium tabularum (quae in tabulis tabulariorum reponuntur) cum hac nova clavi.
In memoriam revocemus quid simile caput encrypted tablespace.
Ex praecedente articulo scimus quod ministratorem legit capita tabularum omnium tabularum encryptarum in startup ac meminisse maximae CLAVIS ID. Exempli gratia si habemus tres tabulas cum CLAVISID = III et una mensa cum CLAVISID = 4, tunc maxima clavis ID erit 4. Vocemus hanc CLAVIS ID - MAX KEY ID.
Quomodo dominus clavem gyrationis operatur
1. A user ALTER INNODB MAGISTRI CLAVIS exsequitur.
2. Minister clavem petit ut novum dominum clavem generaret cum servo UUID et CLAVISId uni plus MAXCLAVISID. Itaque dominum clavem id aequalem inNODB . obtinemusCLAVIS-UUID- (MAX*CLAVISID + 1). Ad felicem generationis clavem magistri, MAX CLAVIS ID una incrementa est (i.e. MAXCLAVISID=MAXCLAVISID + 1).
3. Minister perlustrans omnia tabularum quae cum domino clave encryptae sunt, et pro singulis tabulis;
-
encryptas tabulae clavem cum clavis magistri novi;
-
id est key updates ut nova MAXCLAVISID;
-
si UUID a servo UUID differt, tunc servo UUID update.
Ut novimus, Magister Key ID tabulam minutissimam ad UUID et clavem ID e capite tabulariorum emissario usus est. Quod nunc agimus, adaequat informationem hanc in tabula spatii encryptionis capitis ut servo clavem magistri rectam accipiat.
Si tabulas ex diversis locis habemus, ut tergum diversum, tunc clavibus magistri diversis uti possint. Omnes hae claves domini e promptuario cum servo incepit recuperari necesse erunt. Id servo startup retardari potest, praesertim si clavem lateris serverni adhibet. Cum magister clavis rotationis, claves tabularum re-encryptarum cum uno magistro clavi, qui idem est omnium tabularum. Servus nunc tantum unum dominum clavem accipere debet in startup.
Quod quidem est jucundum latus effectus. Praecipuum propositum rotationis domini clavis est ut servo nostro securior fiat. In eventu quem dominus clavem e crypta quodammodo subripuit (exempli gratia ex Vault Servo), generare potest novum dominum clavem et claves tabularii re-encryptas, clavem furtivam infirmare. Propemodum salvi sumus.
In superiori articulo locutus sum quomodo semel clavem tabulettae surripiat, tertia pars ea ad decryptam datam uti potest. Dummodo sit aditus orbis nostri. Si dominus clavem furatus est et accessum ad encrypted notitias habes, furtivae dominii clavis uti potes ad decryptas clavem tabulariorum et decryptam datam. Ut vides, rotatio clavem domini in hoc casu non adiuvat. Nos re-encrypt clavem tabulae cum clave magistri novi, sed ipsa clavis ad "encrypt/decrypt" data eadem manet. Ergo "piratica" uti potest ad minutum notitia. Antea insinuavi quod tabulae verae re-encryption praestare possunt, non solum simplicem tabularum clavem re-encryption. Haec pluma relatorum encryption appellatur. Attamen haec functionalitas adhuc experimentalis est in momento.
Magister clavem gyrationis utilis est cum dominus clavis furatus est, sed invasor nullo modo est uti et claves tabularii decrypt.
Lege plus:
Source: www.habr.com