Encryption Hierarchy
SQL Server szyfruje dane z szyfrowanie hierarchiczną i klucz infrastrukturę zarządzania.Każda warstwa szyfruje warstwy znajdującej się pod nim przy użyciu kombinacji certyfikaty i klucze asymetryczne kluczy symetrycznych.Klucze asymetryczne i kluczy symetrycznych można przechowywać poza SQL Server module EKM (Extensible klucz Management).
Na następującej ilustracji pokazano, że każda warstwa hierarchii szyfrowanie szyfruje warstwy znajdujące się poniżej, a wyświetlane najbardziej typowe konfiguracje szyfrowanie.Dostęp do początku hierarchii, zwykle jest chroniony hasłem.
Należy wziąć pod uwagę następujące pojęcia:
Aby uzyskać najlepszą wydajność należy szyfrować dane za pomocą kluczy symetrycznych zamiast certyfikaty lub klucze asymetryczne.
Klucze główne bazy danych są chronione przez usługa klucz głównego.Klucz główny usługa jest tworzony przez SQL Server instalacji i jest szyfrowany z systemu Windows Data Protection API (DPAPI).
Możliwe są inne hierarchie szyfrowanie układania dodatkowe warstwy.
Moduł Extensible klucz Management (EKM) zostały przedstawione w kluczach symetrycznych i asymetrycznych spoza programu SQL Server.
Przezroczyste szyfrowanie danych (TDE) należy użyć klucza symetrycznego, o nazwie klucza szyfrowanie bazy danych, która jest chroniona przez certyfikat chroniony przez klucz główny bazy danych z wzorzec bazy danych lub przechowywane w EKM asymetrycznego klawisza.
Z klucz głównego i wszystkie klucze główne bazy danych są kluczy symetrycznych.
Następująca ilustracja przedstawia te same informacje w sposób alternatywnych.
Ten diagram ilustruje następujące dodatkowe pojęcia:
Na tej ilustracji strzałki oznaczają wspólne hierarchie szyfrowanie.
Kluczy symetrycznych i asymetrycznych w EKM można chronić dostęp do kluczy symetrycznych i asymetrycznych przechowywane w SQL Server. Linia kropkowana skojarzonych z EKM wskazuje, że klucze w EKM może zastąpić kluczy symetrycznych i asymetrycznych przechowywane w SQL Server.
Mechanizmy szyfrowanie
SQL Server dostarcza następujących mechanizmów szyfrowanie:
Transact-SQL funkcje
Klucze asymetryczne
Kluczy symetrycznych
Certyfikaty
Przezroczyste szyfrowanie danych
Funkcje języka Transact-SQL
Indywidualne elementy można zaszyfrować one wstawione lub zaktualizowane przy użyciu Transact-SQL funkcje. Aby uzyskać więcej informacji zobacz ENCRYPTBYPASSPHRASE (Transact-SQL) i DECRYPTBYPASSPHRASE (Transact-SQL).
Certyfikaty
Certyfikat klucza publicznego, zazwyczaj nazywany po prostu certyfikatem, jest cyfrowo podpisaną deklaracją, która wiąże wartość klucza publicznego z tożsamością osoby, urządzenia lub usługa, która posiada odpowiedni klucz prywatny.Certyfikaty są wystawiane i podpisanym przez urząd certyfikacji (CA, Certification Authority).Obiekt, który otrzymuje certyfikat od urzędu certyfikacji jest temat tego certyfikatu.Zazwyczaj certyfikaty zawierają następujące informacje.
Klucz publiczny z podmiotem.
Informacje identyfikujące podmiotu, takie jak nazwa i poczty e-mail adres.
Okres ważności.Jest to długość czas, przez który certyfikat uważany jest za ważny.
Certyfikat jest ważny tylko dla okresu określonego w nim; każdy certyfikat zawiera Ważne od and Ważny do daty.Daty te należy ustawić granice okresu ważności.Po upływie okresu ważności certyfikatu, nowy certyfikat musi być wymagane przez podmiot wygasłego certyfikatu.
Informacje identyfikujące wystawcę.
Podpis cyfrowy wystawcy.
Ten podpis poświadcza ważności wiązanie między kluczem publicznym i informacje identyfikujące podmiotu.(Proces cyfrowego podpisywania informacji wymaga ich Przekształcanie informacje, jak również pewne informacje poufne posiadaniu nadawcy, w tagu określanym jako podpis.)
Podstawową korzyścią wynikającą z certyfikatów jest ich przejmując od hostów należy przechowywać zestaw haseł dla poszczególnych tematów.Teraz host tworzy jedynie relację zaufania w wystawca certyfikat, który następnie może podpisać nieograniczoną liczbę certyfikat.
Host, taki jak bezpieczny serwer sieci Web, wyznacza wystawcę jako zaufany główny urząd certyfikacji, host domyślnie ufa zasady, które wykorzystał wystawca do ustanowienia powiązań go wystawia certyfikaty.W efekcie host ufa, że wystawca sprawdził tożsamość podmiotu certyfikat.Host wyznacza wystawcę jako zaufany główny urząd umieszczając podpisany przez siebie certyfikat wystawcy, który zawiera klucz publiczny wystawcy, w magazynie certyfikatów urzędu certyfikacji zaufanego głównego komputera-hosta.Pośrednie lub podporządkowane urzędy certyfikacji są zaufane tylko wtedy, gdy mają ważną ścieżka certyfikacji z zaufanego głównego urzędu certyfikacji.
Wystawca może odwołać certyfikat, przed jej wygaśnięciem.Odwołania anuluje wiązanie klucz publicznego do tożsamości, które jest potwierdzone w certyfikacie.Każdy wystawca prowadzi listę odwołania certyfikat, które mogą być używane przez programy, gdy są one sprawdzaniu ważności określonego certyfikat.
Certyfikaty podpisany przez siebie, utworzone przez SQL Server Postępuj zgodnie z X.509 standard i obsługuje pól X.509 w wersji 1.
Klucze asymetryczne
Kluczu asymetrycznego, który składa się z klucz prywatnego i odpowiedniego klucz publicznego.Każdy klucz może odszyfrować dane zaszyfrowane przez innych.Asymetryczne szyfrowanie i odszyfrowywania są stosunkowo dużej ilości zasób, ale zapewniają wyższy poziom zabezpieczeń niż szyfrowanie symetrycznego.An a klucz zawartości może służyć do szyfrowania klucz zawartości do przechowywania w bazie danych.
Kluczy symetrycznych
klucz zawartości jest jeden klucz, który jest używany do szyfrowanie i odszyfrowywania.szyfrowanie i odszyfrowywania klucz zawartości jest szybkie i nadaje się dla rutynowych dane poufne w bazie danych.
Przezroczyste szyfrowanie danych
Przezroczyste szyfrowania danych (TDE) jest szczególnym przypadkiem szyfrowanie klucz zawartości.TDE szyfruje całej bazie danych przy użyciu tego klucz symetrycznego, nazywany kluczem szyfrowanie bazy danych.Klucz szyfrowanie bazy danych jest chroniona przez inne klucze lub certyfikaty, które są chronione przez klucz główny bazy danych lub poprzez asymetryczne przechowywane w moduł EKM klawisza.Aby uzyskać więcej informacji zobaczUnderstanding Transparent Data Encryption (TDE).
See Also