CC BY
42УДК 004.65
Солобуто А.С.
студент
Московский политехнический университет (Россия, г. Москва)
Арсентьев Д.А.
к.т.н., доцент кафедры «Информатика и информационные технологии» Московский политехнический университет (Россия, г. Москва)
АНАЛИЗ ПОПУЛЯРНЫХ ШИФРОВАНИЙ БАЗЫ ДАННЫХ
Аннотация: в данной статье рассмотрены различные (самые популярные) технологии шифрования базы данных, а именно: прозрачное шифрование данных, шифрование на уровне столбцов, асимметричное и симметричное шифрование, шифрование на уровне поля.
Ключевые слова: шифрование, база данных, данные, информация, прозрачное, симметричное, защита, ключи.
Целью шифрования базы данных является защита информации, хранящаяся в базе данных, от доступа к ним злоумышленников, а также от ее кражи, поскольку когда данные зашифрованы, они становятся практически бесполезны. Существует несколько методов и технологий, доступных для шифрования базы данных.
Прозрачное шифрование данных (ТЭБ) прозрачно с точки зрения пользователя: ему не нужны специальные ключи для доступа к его защищенным данным. Метод шифрования защищает информацию в базе данных (БД) путем шифрования базовых файлов БД, а не самих данных. Это предотвращает взлом данных и их копирование на другой сервер. Для того, чтобы открыть файлы, необходимо иметь оригинальный сертификат шифрования и мастер-ключ.
Для безопасности TDE хранит ключи шифрования во внешнем (по отношению к базе данных) модуле безопасности (хранилище ключей) [1]. Приложения не должны изменяться для корректной работы TDE (шифруются также резервные копии базы данных) [2]. Полная прозрачность всего процесса шифрования для приложений, обращающихся к базе данных, делается с помощью Расширенного стандарта шифрования (ЛЕЗ), который шифрует страницы файла и затем дешифрует по мере поступления информации в память. По сути, это шифрование и дешифрование ввода-вывода в реальном времени. AES не увеличивает размер указанной базы данных. На рис.1. показана иерария TDE.
Рис. 1. Иерархия TDE
После шифрования Пользователь видит базу данных так же, как если бы она была не зашифрована [3].
Шифрование на уровне столбцов. Типичная реляционная база данных - таблицы, которые разделены на столбцы со строками данных.
Преимущества данного вида шифрования:
- возможность шифровать отдельные столбцы бывает более полезно, чем шифровать базу данных целиком;
- для каждого столбца (отдельно) в базе данных можно использовать совершенно уникальные ключи шифрования [4].
Эта технология была принята многими компаниями-разработчиками программного обеспечения для шифрования по всему миру, включая IBM, MyDiamo (Penta Security), Oracle.
Симметричное шифрование в контексте шифрования базы данных происходит через метод закрытого ключа [5]. Этот закрытый ключ изменяет информацию таким образом, что ее невозможно прочитать без предварительной расшифровки.
Симметричное шифрование
Love . О О you ^ О
granny ^^
V АК Ш
' ov2*s= TiaY/Jh
ч О о
о
обычный текст
Алгоритм шифрования
зашифрованный текст
общий клюй
Алгоритм шифрования
у Love
' yOU
granny
обычный текст
J
Рис.2. Симметричное шифрование
Информация зашифрована при сохранении и расшифрована при открытии, если пользователь знает закрытый ключ. Из этого следует: для расшифровки данных принимающее лицо должно иметь копию секретного ключа, используемого
отправителем.
Асимметричное шифрование
Love Q О
you ~ О
granny ^^
AK#4Z ч V.O ov2+s= ~ TOY/Jh ^
->
Love
you
granny
обычный текст
Алгоритм шифрования
Î
зашифрованный текст
Алгоритм шифрования
Î
обычный текст
публичный ключ
приватный ключ
Рис. 3. Ассиметричное шифрование
Асимметричное шифрование расширяет симметричное шифрование путем включения в метод шифрования двух разных типов ключей: закрытых (приватных) и открытых (публичных) ключей. Открытый ключ может быть доступен любому и
уникален для одного пользователя, тогда как закрытый ключ является секретным ключом, который уникален и известен только одному пользователю. В большинстве сценариев открытый ключ - это ключ шифрования, тогда как закрытый ключ - это ключ дешифрования [6].
Асимметричное шифрование часто описывается как более безопасное по сравнению с симметричным шифрованием базы данных, поскольку частные ключи не должны использоваться совместно (два отдельных ключа обрабатывают процессы шифрования и дешифрования).
Шифрование на уровне поля
Проводится экспериментальная работа по представлению операций с базой данных (таких как поиск или арифметические операции) над зашифрованными полями без необходимости их расшифровки. Для сильного шифрования необходимо, чтобы каждый раз случайно генерировался другой результат. Это известно, как вероятностное шифрование. Пример поля для шифрования - номер кредитной карты. После выбора поля все данные в этом поле будут автоматически зашифрованы.
В статье были представлены лишь несколько способов шифрования баз данных, и каждый из этих способов - это отдельная обширная тема для изучения. Но всегда есть риски и недостатки.
Первый набор рисков связан с управлением ключами. Если закрытые ключи находились не в защищенном хранении, то шифрование было бесполезно. Фундаментальный принцип ключей также создает потенциально разрушительный риск: в случае потери (удаления) ключей зашифрованные данные также в основном теряются, поскольку дешифрование без ключей практически невозможно [7].
Сложность логистики управления ключами также является темой, которую необходимо принимать во внимание. По мере увеличения количества приложений, используемых фирмой, увеличивается число ключей, которые требуется хранить и управлять ими. Таким образом, необходимо установить способ управления ключами из всех приложений по одному каналу, который также называется управлением корпоративными ключами. Эти системы, по сути, предоставляют решение для
централизованного управления ключами, которое позволяет администраторам управлять всеми ключами в системе через один концентратор.
Список литературы:
Database Encryption in SQL Server 2008 Enterprise Edition [Электронный ресурс]. URL: https://technet.microsoft.com/enus/ library/cc278098(v=sql.100).aspx#_Toc189384683 (дата обращения 22.12.2019).
Database Encryption: Challenges, Risks, and Solutions [Электронный ресурс]. URL: https://www.thales-esecurity.com/solutions/by-technology-focus/database-encryption (дата обращения 22.12.2019). Description of Symmetric and Asymmetric Encryption [Электронный ресурс]. URL: https://support.microsoft.com/en-us/kb/246071 (дата обращения 22.12.2019).
Encryption techniques and products for hardware-based data storage security [Электронный ресурс]. URL: https://www.computerweekly.com/feature/ Encryption-techniques-and-products-for-hardware-based-data-storage-security (дата обращения 22.12.2019).
Symmetric and Asymmetric Encryption [Электронный ресурс]. URL: https://hackernoon.com/symmetric-and-asymmetric-encryption-5122f9ec65b1 (дата обращения 22.12.2019).
Transparent Data Encryption (TDE) [Электронный ресурс]. URL: https://msdn.microsoft.com/en-us/library/bb934049.aspx (дата обращения 22.12.2019).
Либерман Я. Прозрачное шифрование баз данных в Microsoft SQL Server // RSDN Magazine #2-2008 [Электронный ресурс]. URL: http://rsdn.org/article/db/liberman.xml (дата обращения 22.12.2019).
