Szyfrowanie danych w SZBD

Wielkość: px

Rozpocząć pokaz od strony:

Download "Szyfrowanie danych w SZBD"

Maksymilian Baranowski
8 lat temu
Przeglądów:

1 Szyfrowanie danych w SZBD dr inż. Maciej Nikodem Instytut Informatyki, Automatyki i Robotyki maciej.nikodem@pwr.wroc.pl 1

2 Czy potrzebujemy szyfrowania w SZBD? prawo, kontrola dostępu, ochrona przed: administratorem, właścicielem serwerów duże ilości danych, przesyłanie w sieciach, nośniki 2

3 Sieć i aplikacje 3 nośniki baza, logi, kopie zapasowe, pamięć przetwarzane dane, przesyłanie logowanie, zapytania, wyniki, operacje SZBD

4 Bezpieczeństwo komunikacji SSL/TSL, IP6 4

5 Konsekwencje domyślna ochrona poprawność? poufność? autentyczność? Miejsca zagrożeń: przechowywanie na nośnikach, przesyłanie w sieciach teleinformatycznych przechowywanie w pamięci 5

6 6 Przykład 1

7 7 Przykład 2 - MySQL

8 8 Przykład 3 - MySQL

9 9 Przykład 4 - MsSQL

10 10 Przykład 4 - MsSQL

11 Cel ochrony danych poprawność, poufność, autentyczność, autorstwo, Poufność żadna informacja na temat tekstu jawnego nie jest ujawniana 11

12 Algorytmy kryptograficzne w SZBD szyfrujące: symetryczne: blokowe strumieniowe asymetryczne podpisy cyfrowe funkcje skrótu: MAC HMAC 12

13 Symetryczne vs. asymetryczne liczba kluczy, rozmiary kluczy, poziom bezpieczeństwa, szybkość działania, zastosowanie. 13

14 Algorytmy w bazach danych 14 SZBD Symetryczne Asymetryczne Funkcje skrótu Ms SQL Server DES, 3DES AES, RC2 RC4 RSA MD5 Oracle 3DES, AES MD4, MD5, SHA-1 MySQL 3DES, AES SHA-1, SHA-2, SHA-160 DB2 PostgreSQL RC2 AES, 3DES, CAST5, Blowfish PGP Public- Key MD5, SHA-1 SHA-2, SHA-3

15 Przykład - MsSQL SELECT [id],[pesel],[imie], [nazwisko], [data_urodzenia], [plec],[pensja] FROM [encrypted].[dbo].[pracownicy] 15

16 Konsekwencje szyfrowania struktura szyfrogramu, nadmiarowość, rozmiar szyfrogramu, dodatkowe informacje, dziwne typy danych, wyszukiwanie, wnioskowanie, dane są bezpieczne? 16

17 Przykład DB2 SELECT a.name, decrypt_char(a.ssn) FROM emp a, empproject b WHERE a.ssn = b.ssn and b.project ='UDDI Project'; SELECT projectname FROM empproject WHERE ssn = encrypt(' '); The following is an example of how not to write the two queries SELECT a.name, decrypt_char(a.ssn) FROM emp a, empproject b WHERE decrypt_char(a.ssn) = decrypt_char(b.ssn) and b.project ='UDDI Project SELECT projectname FROM empproject WHERE decrypt_char(ssn)= ' ' 17

18 18 Rodzaje szyfrowania

19 Deterministyczne czy nie? porównywanie, wyszukiwanie, Indeksowanie, złączenia, podobieństwo danych, poufność, 19

20 Deterministyczne, można przerobić losowość 20

21 Algorytmy wymagają kluczy hasła klucze Jak bezpiecznie przechowywać hasła i klucze? Gdzie je przechowywać? 21

22 22 Hierarchia kluczy

23 Tryby szyfrowania cell-level TDE file system 23

24 Cell-level vs. TDE wydajność, zakres szyfrowania, konsekwencje stosowania, dostęp do danych, ataki, Cell - level TDE 20% wolniejsze kilka procent wolniejsze, 24 zmiana struktury bazy danych zmiana typów pamiętanie oryginalnych, rzutowanie indeksy mogą nie działać klucze obce nie działają 28% w najgorszym przypadku niezmienna struktura i typy pełna funkcjonalność obiektów SZBD może wykorzystywać szyfrowanie sprzętowe

25 Wyszukiwanie jak szukać w danych zaszyfrowanych? SELECT * FROM Table WHERE pesel=encrypt( ) SELECT * FROM Table WHERE DECRYPT(pesel)= usprawnienia: funkcje skrótu filtry Blooma szyfry homomorficzne 25

26 Inne algorytmy MsSQL SIGNBYCERT, SIGNBYASYMKEY VERIFYSIGNEDBYCERT, VERIFYSIGNEDBYASYMKEY CRYPT_GEN_RANDOM obfuskacja MySQL ENCODE, DECODE 26

27 Bezpieczeństwo algorytmów DES RC4 (MsSQL) RSA MD4, MD5, SHA-1 27

28 Podsumowanie narzut obliczeniowy i pamięciowy, Oracle (column TDE) od 1 do 52 dodatkowych bitów na tekst jawny, 5% wydajności MsSQL (cell-level) kilkadziesiąt bajtów na tekst jawny, do 20% wydajności ograniczenia wyszukiwania, indeksowania, łączenia, zmiana struktury bazy danych i zapytań, szyfrowanie istniejących tabel z danymi, algorytm i tryb szyfrowania, ochrona transmisji do SZBD, dokumentacje SZBD, 28

29 Co i kiedy szyfrować im mniej tym lepiej, duże domeny, wymogi prawne, zalecenia: obrazy DICOM, numery kart kredytowych, SSN, PESEL, wyszukiwanie danych exact i range, złączenia, algorytmy symetryczne preferowane 29

30 Linki MySQL: Oracle: DB2: MsSQL: IP v6:

Podobne dokumenty

Zastosowania informatyki w gospodarce Wykład 5

Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 5 Podstawowe mechanizmy bezpieczeństwa transakcji dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak