B'antiċipazzjoni tal-bidu ta' reġistrazzjoni ġdida għall-kors aħna nkomplu nippubblikaw serje ta 'artikli dwar l-encryption fil-MySQL.
Fl-artiklu preċedenti f'din is-serje, iddiskutejna . Illum, ibbażat fuq l-għarfien miksub qabel, ejja nħarsu lejn ir-rotazzjoni taċ-ċwievet prinċipali.
Ir-rotazzjoni taċ-ċavetta prinċipali tinvolvi l-ġenerazzjoni ta 'ċavetta prinċipali ġdida u l-kriptaġġ mill-ġdid taċ-ċwievet tal-ispazju tat-tabella (li huma maħżuna fl-intestaturi tal-ispazju tat-tabella) b'din iċ-ċavetta ġdida.
Ejja nfakkru kif tidher l-header ta' tablespace ikkodifikat:
Mill-artiklu ta 'qabel, nafu li s-server jaqra l-headers tat-tablespaces kollha kkodifikati fl-istartjar u jiftakar l-akbar KEY ID. Per eżempju jekk ikollna tliet tabelli bil-KEYID = 3 u tabella waħda bil-KEYID = 4, allura l-ID taċ-ċavetta massimu se jkun 4. Ejja nsejħu din KEY ID - MAX KEY ID.
Kif taħdem ir-rotazzjoni taċ-ċavetta prinċipali
1. L-utent jesegwixxi ALTER INNODB MASTER KEY.
2. Is-server jitlob liċ-ċavetta biex tiġġenera ċavetta ewlenija ġdida bis-server UUID u KEYID ugwali għal wieħed u MAXĦAFNAID. Allura aħna nikseb id-ċavetta prinċipali ugwali għal INNODBKEY-UUID-(MAXĦAFNAID + 1). Mal-ġenerazzjoni b'suċċess taċ-ċavetta prinċipali, MAX KEY ID tiżdied b'wieħed (jiġifieri MAXĦAFNAID=MAXĦAFNAID + 1).
3. Is-server jiskenja l-ispazji tat-tabella kollha kkodifikati biċ-ċavetta prinċipali, u għal kull spazju tat-tabella:
-
jikkripta ċ-ċavetta tal-ispazju tat-tabella biċ-ċavetta prinċipali ġdida;
-
jaġġorna l-id taċ-ċavetta għall-MAX il-ġdidĦAFNAID;
-
jekk l-UUID huwa differenti mill-UUID tas-server, imbagħad aġġorna l-UUID tas-server.
Kif nafu, il-Master Key ID użat biex jiddeċifra tabella jikkonsisti f'UUID u KEY ID moqri mill-header tal-tablespace. Dak li qed nagħmlu issa huwa li naġġornaw din l-informazzjoni fil-header tal-encryption tablespace sabiex is-server jirċievi ċ-ċavetta prinċipali korretta.
Jekk għandna tablespaces minn postijiet differenti, bħal backups differenti, allura jistgħu jużaw master keys differenti. Dawn iċ-ċwievet prinċipali kollha jridu jiġu rkuprati mir-repożitorju meta s-server jinbeda. Dan jista 'jnaqqas l-istartjar tas-server, speċjalment jekk jintuża maħżen taċ-ċavetta fuq in-naħa tas-server. Bir-rotazzjoni taċ-ċavetta prinċipali, nerġgħu nikkodifikaw iċ-ċwievet tal-ispazju tat-tabella b'ċavetta ewlenija waħda li hija l-istess għall-ispazji tat-tabella kollha. Is-server issa għandu jirċievi ċavetta waħda biss fl-istartjar.
Dan, ovvjament, huwa biss effett sekondarju pjaċevoli. L-għan ewlieni tar-rotazzjoni taċ-ċavetta prinċipali huwa li s-server tagħna jsir aktar sigur. Fil-każ li ċ-ċavetta prinċipali tkun insterqet b'xi mod mill-kaxxa-forti (per eżempju, mis-Server tal-Vault), huwa possibbli li tiġġenera ċavetta prinċipali ġdida u terġa 'tikkodifika ċ-ċwievet tal-ispazju tat-tabella, li tinvalida ċ-ċavetta misruqa. Aħna sikuri...kważi.
F'artiklu ta 'qabel, tkellimt dwar kif ladarba ċavetta tablespace tinsteraq, parti terza tista' tużaha biex tiddeċifra d-dejta. Sakemm ikun hemm aċċess għad-disk tagħna. Jekk iċ-ċavetta prinċipali tinsteraq u jkollok aċċess għad-dejta kkodifikata, tista 'tuża ċ-ċavetta prinċipali misruqa biex tiddeċifra ċ-ċavetta tat-tablespace u tikseb id-dejta decrypted. Kif tistgħu taraw, ir-rotazzjoni taċ-ċavetta prinċipali ma tgħinx f'dan il-każ. Aħna nerġgħu nikkriptaw iċ-ċavetta tal-ispazju tat-tabella biċ-ċavetta prinċipali l-ġdida, iżda ċ-ċavetta attwali użata biex tikkodifika/deċifra d-dejta tibqa 'l-istess. Għalhekk, il-"hacker" jista 'jkompli jużah biex jiddeċifra d-data. Iktar qabel aċċennat li jista 'jwettaq kodifikazzjoni mill-ġdid ta' tablespace vera, mhux biss ri-encryption ta 'ċavetta ta' tablespace sempliċi. Din il-karatteristika tissejjaħ ħjut ta' encryption. Madankollu, din il-funzjonalità għadha sperimentali bħalissa.
Ir-rotazzjoni taċ-ċavetta prinċipali hija utli meta ċ-ċavetta prinċipali tinsteraq, iżda m'hemm l-ebda mod biex attakkant jużaha u jiddeċifra ċ-ċwievet tal-ispazju tat-tabella.
Aqra iktar:
Sors: www.habr.com