Sichern Sie Ihre Daten mit Actian Vector, Teil 6

Im letzten Blog-Beitrag dieser Serie wurde erklärt, wie man nur die Passphrase für eine verschlüsselte Datenbank in Actian Vector ändern kann. Während dies in den meisten Fällen den Sicherheitsanforderungen genügt, ist es auch möglich, den "Hauptschlüssel" zu ändern. Dies führt dazu, dass die Metadaten für die Datenbank mit einem neuen Schlüssel neu verschlüsselt werden.

Verwaltung von Verschlüsselungsschlüsseln für die Verschlüsselung im Ruhezustand

Drehen des Hauptschlüssels

Anstatt nur die Passphrase in Actian Vector zu ändern, ist es auch möglich, den Hauptschlüssel zu ändern, d.h. zu "rotieren".

Dieser Vorgang wird zusammen mit der Änderung der Passphrase durchgeführt. Es wird die SQL-Anweisung ALTER PASSPHRASE verwendet, bei der durch die zusätzliche Angabe der Option WITH NEWKEY der Hauptschlüssel geändert wird, indem ein neuer Zufallswert für ihn erzeugt wird. Da der "Datenbankschlüssel" und andere Schlüssel vom Hauptschlüssel abgeleitet sind, ändern sich auch diese Schlüssel. Dies bedeutet wiederum, dass alles, was mit diesen Schlüsseln verschlüsselt wurde, mit den alten Schlüsseln entschlüsselt werden muss, um mit den neuen Schlüsseln erneut verschlüsselt zu werden.

Bei der Datenbankverschlüsselung wird der gesamte Container der "Tabellenschlüssel" mit dem Datenbankschlüssel verschlüsselt und nicht nur die einzelnen "Tabellenschlüssel" im Container. Da dieser Container nicht nur die Tabellenschlüssel, sondern auch viele verschiedene Metadaten für die Datenbank enthält, kann der Container recht groß sein, und das Entschlüsseln und erneute Verschlüsseln seines gesamten Inhalts kann daher ein langsamer Vorgang sein.

Außerdem enthalten die Metadaten im Container mit den Tabellenschlüsseln auch Datenbankprotokollierungsinformationen. Die Neuverschlüsselung dieser Metadaten aufgrund einer Hauptschlüsseländerung wirkt sich auf den Log-Rollforward bei einer Datenbankwiederherstellung aus: Der Log-Rollforward kann nicht über den Punkt einer Hauptschlüsseländerung hinaus durchgeführt werden.

Es wird daher empfohlen, nach der Änderung des Hauptschlüssels einen neuen vollständigen Prüfpunkt (d. h. eine backup) durchzuführen, um sicherzustellen, dass gültige Datenbanksicherungen verfügbar sind. Um eine Wiederherstellung aus einer backup zu starten, die vor der Änderung der Passphrase erstellt wurde, ist außerdem die alte Passphrase erforderlich, die zum Zeitpunkt der Erstellung der backup gültig war.

Ändern der Passphrase und Drehen des Hauptschlüssels

Tabellenschlüssel werden beim Ändern des Hauptschlüssels nicht verändert und damit werden auch die Nutzer in Tabellen und Indizes nicht angetastet. Die folgenden SQL-Anweisungen ändern die Passphrase zusammen mit dem Hauptschlüssel:

SET AUTOCOMMIT ON;
ALTER PASSPHRASE '<old passphrase>' TO '<new passphrase>' WITH NEWKEY;

Der DBA muss sich die neue Passphrase merken.

Die alte Passphrase wird auf ihre Korrektheit überprüft. Dann wird der alte Hauptschlüssel mit dem alten "Schutzschlüssel" entschlüsselt, der aus der alten Passphrase abgeleitet wurde. Der alte Datenbankschlüssel (noch im Speicher) wird verwendet, um den Container mit den Tabellenschlüsseln zu entschlüsseln. Ein neuer Hauptschlüssel wird zufällig generiert. Der neue Datenbankschlüssel wird von dem neuen Hauptschlüssel abgeleitet und zur erneuten Verschlüsselung des Containers mit den unveränderten Tabellenschlüsseln verwendet.

Der neue Hauptschlüssel wird mit dem neuen Schutzschlüssel, der sich aus der neuen Passphrase ergibt, erneut verschlüsselt. Der neue verschlüsselte Hauptschlüssel wird dann beibehalten. Der neue Datenbankschlüssel und die neuen anderen Schlüssel, die ebenfalls vom neuen Hauptschlüssel abgeleitet sind, werden im Speicher gehalten.

Die folgende Grafik zeigt die Auswirkungen einer Änderung des Hauptschlüssels:

Die Verschlüsselung der Tabellenschlüssel ändert sich, da der gesamte Container der Tabellenschlüssel mit dem neuen Datenbankschlüssel neu verschlüsselt wird. Die Tabellenschlüssel selbst bleiben jedoch unverändert, und damit werden auch die verschlüsselten Nutzer in Tabellen und Indizes nicht angetastet.

Wann sollten Sie den Hauptschlüssel drehen?

Im Allgemeinen besteht der Hauptzweck der Rotation eines Verschlüsselungsschlüssels darin, die Datenmenge zu verringern, die mit einem einzigen Schlüssel verschlüsselt wird. Im Falle einer Schlüsselkompromittierung wird dadurch die Menge des durchgesickerten Materials reduziert. Dies gilt auch für die Kommunikationsverschlüsselung, bei der die Schlüsselrotation während der Kommunikation die Verschlüsselung der folgenden Daten verändert. Bei Data-at-Rest bedeutet die Schlüsselrotation jedoch, dass die vorhandenen Daten mit dem alten Schlüssel entschlüsselt und dann sofort mit dem neuen Schlüssel verschlüsselt werden - die Menge der verschlüsselten Daten bleibt gleich.

Damit ist bei der Data-at-Rest der wichtigste Fall für eine sofortige Schlüsselrotation der Fall, wenn der Schlüssel kompromittiert wurde oder der Verdacht besteht, dass er kompromittiert wurde.

Wenn eine regelmäßige Schlüsselrotation erforderlich ist, um externe Anforderungen zu erfüllen, bleibt natürlich nicht viel anderes übrig, als die vorgeschriebenen Verfahren einzuhalten.

Abgesehen von diesen Situationen sollten die individuellen Umstände sorgfältig geprüft werden, um zu bestimmen, welche Intervalle für die Schlüsselrotation sinnvoll sind. Dazu gehören Faktoren wie die Häufigkeit der Aktualisierung vorhandener Daten, die Menge der im Laufe der Zeit hinzukommenden Daten, die Dauer der Schlüsselrotation, die Auswirkungen auf die Handhabung der backup und Wiederherstellung usw. Ein allgemeines Patentrezept gibt es nicht.

Über Martin Fuerderer

Martin Fuerderer ist Principal Software Engineer bei HCLSoftware und verfügt über mehr als 25 Jahre Erfahrung in der Entwicklung von Datenbankservern. In letzter Zeit hat er sich auf Sicherheitsfunktionen in Datenbankumgebungen konzentriert, um die Einhaltung von Vorschriften und einen zuverlässigen Datenschutz zu gewährleisten. Martin hat an wichtigen Produktveröffentlichungen mitgewirkt und arbeitet häufig mit Kollegen zusammen, um die Standards für Datenbanksicherheit zu verbessern. Im Actian-Blog gibt Martin Einblicke in die sichere Entwicklung von Datenbankservern und in bewährte Verfahren. In seinen neuesten Beiträgen finden Sie Hinweise zum Schutz von Unternehmensdaten.