Sichern Sie Ihre Daten mit Actian Vector, Teil 5

In den vorangegangenen Blog-Beiträgen dieser Reihe wurden die Konzepte der "Verschlüsselung im Ruhezustand" und die verschiedenen dafür verwendeten Verschlüsselungsschlüssel erläutert. Bei all diesen verschiedenen Schlüsseln stellt sich die Frage: "Wie können und sollten diese Schlüssel verwaltet werden?" Glücklicherweise werden in Actian Vector viele Teile dieser Aufgabe automatisch vom Datenbankserver ausgeführt, und der Administrator muss sich hauptsächlich nur um die Passphrase kümmern.

Verwaltung von Verschlüsselungsschlüsseln für die Verschlüsselung im Ruhezustand

Ändern Sie nur die Passphrase

Die am häufigsten durchgeführte Aufgabe der gesamten Schlüsselverwaltung ist das Ändern der Passphrase für eine Datenbank. Das regelmäßige Ändern der Passphrase kann durchaus als gute Praxis angesehen werden, denn eine kompromittierte Passphrase würde unbefugten Zugriff auf die Datenbank ermöglichen, nachdem diese gesperrt wurde.

Die Wahrscheinlichkeit, dass eine kompromittierte Datenbank-Passphrase auch zu einer Kompromittierung der von ihr geschützten Schlüssel führt, ist jedoch sehr gering. Die Schlüssel werden intern im Datenbankserver gespeichert, und ihr Speicherort ist nicht allein über die Datenbank-Passphrase zugänglich.

Der Zugriff auf den Rechner, auf dem der Datenbankserver läuft, sowie die entsprechenden Dateizugriffsrechte wären ebenfalls erforderlich, um an die verschlüsselten Schlüssel zu gelangen, die dann mit Hilfe der Passphrase entschlüsselt werden könnten. Daher sollte in den meisten Fällen nur die Änderung der Passphrase ausreichende Sicherheit bieten. Situationen, in denen auch die Schlüssel geändert werden müssen, können auftreten, sollten aber selten vorkommen.

Ab Actian Vector 7.0 hat jede Datenbank einen "Hauptschlüssel" und damit auch eine Passphrase zum Schutz des Hauptschlüssels. In früheren Versionen haben nur verschlüsselte Datenbanken eine Passphrase zum direkten Schutz des "Datenbankschlüssels". Um das Verhalten mit früheren Versionen von Actian Vector kompatibel zu halten, behandelt Actian Vector 7.0 die Passphrase für verschlüsselte und nicht verschlüsselte Datenbanken unterschiedlich:

Für verschlüsselte Datenbanken:

• Bei der Erstellung einer verschlüsselten Datenbank wird die Passphrase für die Datenbank vom Nutzer benötigt.
• Der Ersteller der Datenbank muss sich die angegebene Passphrase merken, um die Datenbank später sperren und entsperren zu können.
• Nach der Erstellung bleibt die Datenbank entsperrt, bis sie aktiv mit der Passphrase gesperrt wird oder bis der Datenbankserver heruntergefahren wird.
• Nach einem Neustart des Datenbankservers ist die Datenbank gesperrt und muss mit der Passphrase entsperrt werden, um sie zugänglich zu machen. Dies liegt daran, dass der vom Hauptschlüssel abgeleitete Datenbankschlüssel nur im Speicher abgelegt ist und beim Herunterfahren des Datenbankservers "verloren" geht. Beim Neustart wird die Passphrase benötigt, um den verschlüsselten Hauptschlüssel zu entschlüsseln, so dass der Datenbankschlüssel wieder vom Hauptschlüssel abgeleitet werden kann.
• Die Datenbank kann manuell mit der Passphrase gesperrt werden.

Unverschlüsselte Datenbanken:

• Bei der Erstellung einer nicht verschlüsselten Datenbank wird vom Nutzer keine Passphrase verlangt. Stattdessen wird intern eine zufällige Passphrase generiert, verschleiert und gespeichert. Dies wird auch als "Stashing" der Passphrase bezeichnet.
• Der Ersteller der Datenbank kennt die Passphrase nicht und braucht sie sich daher auch nicht zu merken.
• Die Datenbank muss nicht entsperrt werden, da sie immer entsperrt bleibt, auch nach einem Neustart des Datenbankservers. Dies liegt daran, dass der Datenbankserver intern die gespeicherte Passphrase verwendet.
• Es ist nicht möglich, die Datenbank manuell zu sperren.

Diese Nicht-Verschlüsselung ist das Standardverhalten in Actian Vector 7.0, das aus Nutzermit früheren Versionen kompatibel ist. In Actian Vector 7.0 kann dieses Standardverhalten durch Aktivieren oder Deaktivieren der Speicherung der Passphrase geändert werden. Mehr dazu erfahren Sie in einem späteren Blogbeitrag zum Thema "Stashing the passphrase".

So ändern Sie die Passphrase für eine verschlüsselte Datenbank

Mit dem Standardverhalten ist es möglich, die Passphrase für eine verschlüsselte Datenbank zu ändern. Die Mindestlänge für eine Passphrase beträgt acht Zeichen, die Höchstlänge 512 Zeichen. Um die Passphrase zu ändern, stellt der DBA eine Verbindung zur entsperrten Datenbank her und gibt die folgenden SQL-Befehle ein:

AUTOCOMMIT EINSCHALTEN;

ALTER PASSPHRASE ‘<old passphrase>’ TO ‘<new passphrase>’;

Der DBA muss sich die neue Passphrase merken. Die alte Passphrase wird benötigt, wenn eine backup wiederhergestellt wird, die vor der Änderung der Passphrase erstellt wurde.

Autocommit muß als Voraussetzung für die ALTER PASSPHRASE-Anweisung eingeschaltet sein. Die ALTER PASSPHRASE-Anweisung prüft, ob die alte Passphrase korrekt ist. Wenn ja, wird der alte "Schutzschlüssel" aus der alten Passphrase abgeleitet und der verschlüsselte Hauptschlüssel damit entschlüsselt. Der neue Schutzschlüssel wird aus der neuen Passphrase abgeleitet, dann wird der Hauptschlüssel mit dem neuen Schutzschlüssel verschlüsselt und anschließend wieder gespeichert. Der Hauptschlüssel selbst wird nicht verändert. Er wird nur mit einem neuen Schutzschlüssel geschützt. Da nur der Hauptschlüssel entschlüsselt und neu verschlüsselt werden muss, ist die Änderung der Passphrase ein schneller Vorgang. Dies wird in der folgenden Grafik dargestellt:

Die geänderten Elemente werden in rot dargestellt. Da der Hauptschlüssel selbst nicht geändert wird, werden auch der Datenbankschlüssel und andere vom Hauptschlüssel abgeleitete Schlüssel nicht geändert. Somit müssen die durch diese Schlüssel geschützten Daten nicht entschlüsselt und neu verschlüsselt werden.

Passphrase-Sicherheit, der Sie vertrauen können

Die Änderung einer Datenbank-Passphrase in Actian Vector ist sowohl einfach als auch sicher. Da der zugrunde liegende Hauptschlüssel unverändert bleibt, können DBAs den Schutz aktualisieren, ohne unnötige Komplexität oder Risiken einzugehen. Dieses Gleichgewicht zwischen starker Verschlüsselung und einfacher Bedienung hilft Unternehmen, Best Practices in der Datensicherheit beizubehalten und gleichzeitig die tägliche Verwaltung effizient zu gestalten.

Wie immer ist es ein wichtiger Bestandteil einer mehrschichtigen Sicherheitsstrategie, Passphrasen auf dem neuesten Stand zu halten. Mit Actian Vector haben DBAs die Flexibilität, Passphrasenrichtlinien an die Bedürfnisse ihres Unternehmens anzupassen, ohne die Leistung oder den Zugriff zu beeinträchtigen.

Im nächsten Teil dieser Serie werden wir uns näher mit der Rotation des Hauptschlüssels in Actian Vector 7.0 befassen und zeigen, wie er die Verwaltung vereinfachen und gleichzeitig die Sicherheit gewährleisten kann.

Über Martin Fuerderer

Martin Fuerderer ist Principal Software Engineer bei HCLSoftware und verfügt über mehr als 25 Jahre Erfahrung in der Entwicklung von Datenbankservern. In letzter Zeit hat er sich auf Sicherheitsfunktionen in Datenbankumgebungen konzentriert, um die Einhaltung von Vorschriften und einen zuverlässigen Datenschutz zu gewährleisten. Martin hat an wichtigen Produktveröffentlichungen mitgewirkt und arbeitet häufig mit Kollegen zusammen, um die Standards für Datenbanksicherheit zu verbessern. Im Actian-Blog gibt Martin Einblicke in die sichere Entwicklung von Datenbankservern und in bewährte Verfahren. In seinen neuesten Beiträgen finden Sie Hinweise zum Schutz von Unternehmensdaten.