Proteja sus datos con Actian Vector, Parte 3

Como continuación de mi segunda entrada de blog sobre las capacidades de cifrado funcional de Actian Vector, esta siguiente entrada de blog de la serie sobre seguridad de datos explica las diferentes claves de cifrado y cómo se utilizan en Actian Vector.

Diferentes claves de cifrado

El método de cifrado utilizado generalmente en Actian Vector es la variante de 256 bits del Estándar de Cifrado Avanzado (AES). AES requiere una clave de cifrado, y para AES de 256 bits, esta clave tiene 256 bits de longitud. Una clave más larga significa mayor seguridad. Actualmente, AES de 256 bits se considera "suficientemente seguro" y 256 bits es la longitud máxima de clave definida para AES.

En Actian Vector, el cifrado de bases de datos es uno de los principales casos de uso del cifrado. Como se describió anteriormente, su implementación utiliza diferentes claves de cifrado para diferentes piezas de datos. Además de la encriptación de la base de datos, también hay otros usos para la encriptación en el servidor de base de datos, y por lo tanto, todavía se utilizan claves differentes para estos. Y todas estas claves de cifrado deben estar protegidas.

Para proporcionar una seguridad sufficiente, las claves de cifrado no deben ser fáciles de adivinar. Por eso, las claves de cifrado suelen generarse aleatoriamente. Esto las hace seguras, pero difíciles de recordar (pocas personas pueden recordar fácilmente una secuencia de 32 bytes aleatorios). Una solución común es proteger las claves de cifrado con una frase de contraseña, donde una frase de contraseña prudentemente elegida puede ser lo suficientemente segura pero lo suficientemente fácil de recordar.

Aun así, no sería seguro utilizar una frase de contraseña directamente como clave de cifrado. En su lugar, se deriva una clave de cifrado a partir de la frase de contraseña, y existen algoritmos avanzados para este proceso de derivación que garantizan que el resultado sea una clave suficientemente segura.

Actian Vector utiliza la Función de Derivación de Clave Basada en Contraseña 2 (PBKDF2) para este propósito. PBKDF2 forma parte de la serie Public-Key Cryptography Standards de RSA Laboratories. Esta ilustración muestra el proceso:

Cómo se generan, protegen y utilizan las claves para el cifrado de bases de datos

Se genera aleatoriamente una "clave principal" individual para cada base de datos. Para almacenar la clave principal de forma segura, se cifra con la "clave de protección". Esta clave de protección resulta de la frase de contraseña procesada por el algoritmo PBKDF2. La clave de protección no necesita almacenarse en ningún sitio porque su derivación de la frase de contraseña puede repetirse siempre que se necesite la clave de protección.

La "clave de base de datos" para el cifrado de la base de datos se obtiene a partir de la clave principal. Dado que la clave principal ya se ha generado aleatoriamente, un método interno basado en un algoritmo SHA (Secure Hash Algorithm) obtiene una clave de base de datos suficientemente aleatoria sin necesidad del algoritmo PBKDF2, más complejo.

Asimismo, de la clave principal se derivan otras claves para fines differentes. Estas claves derivadas no se conservan, sino que sólo se guardan en memoria. Por otro lado, la clave principal cifrada se conserva, pero la clave principal descifrada sólo se necesita para derivar la clave de la base de datos y otras claves. Después, la clave principal descifrada se elimina de la memoria.

La clave de base de datos se utiliza para cifrar y descifrar el contenedor de las "claves de tabla" individuales. Estas claves de tabla se generan aleatoriamente para cada tabla y se utilizan para (finalmente) cifrar y descifrar los datos de usuario en tablas e índices. Debido a que las claves de tabla son generadas aleatoriamente, también necesitan ser persistidas y con eso, aseguradas encriptándolas con la clave de la base de datos. El contenedor donde se almacenan las claves de las tablas también contiene otros metadatos de la base de datos y, por lo tanto, también se asegura cifrando todo el contenedor, en lugar de cifrar individualmente sólo las claves de las tablas.

El administrador de la base de datos puede cambiar la frase de contraseña para una base de datos, así como rotar la clave principal o las claves de tablas individuales. Compartiré más sobre esto en posteriores entradas del blog sobre gestión de claves.

Sobre Martin Fuerderer

Martin Fuerderer es ingeniero de software principal de HCLSoftware, con más de 25 años de experiencia en el desarrollo de servidores de bases de datos. Recientemente se ha centrado en las funciones de seguridad de los entornos de bases de datos, garantizando el cumplimiento de las normativas y una sólida protección de los datos. Martin ha contribuido a importantes lanzamientos de productos y colabora frecuentemente con sus colegas para perfeccionar los estándares de seguridad de las bases de datos. En el blog de Actian, Martin comparte sus conocimientos sobre el desarrollo de servidores de bases de datos seguros y las mejores prácticas. Consulte sus últimas publicaciones para obtener orientación sobre la protección de los datos empresariales.