Encriptar é preciso

Ricardo Leka Roveri

Quem sou?

2 |

@BigLeka

Ricardo@Leka.com.br

Background Melhores práticas Hierarquia Encriptar e desemcriptar colunas TDE Uma lista de Algorítimos

Background

Cartões de Crédito 4401750499330745 4825840002963645

Resultados de exames Detectamos presença de altos níveis de... Sim,,, é lepra...

Melhores Práticas

Dois Controles Separação de Tarefas Compartilhar Conhecimento

SQL Server Hierarquia

Windows Level SQL Server Level Database Level

TDEToda a base é encriptada

Encriptação totalmente transparente para o usuário

Coluna/RegistroEncriptação

Aplicação deverá ser reescritaDados menos críticos não precisam ser

encriptados

Encriptar Coluna

Encriptação de coluna é implementado como uma série de funções e gerenciamento de chaves

É necessário reescrever consultas, as funções de encriptação e desencritação terão que ser chamadas pelas query´s

Os dados encriptados deverão ser armazenados como varbinary e convertidos quando forem lidos.

Disponível em todas as versões do SQL (Std/Ent)

Encriptar Coluna - Demo

Passos

Criar uma database master key para cada base Criar um certificado para proteger as chaves Usar o certificado para criar e proteger a chave

simétrica Alterar o banco para armazenar o dado

encriptado Abrir a chave Encriptar o dado Fechar a chave

Duplicar chave Simetrica

CREATE SYMMETRIC KEY test_aes128_key

WITH KEY_SOURCE = 'Melhor saber o que estou fazendo',

IDENTITY_VALUE = ‘e nunca esquecer',

ALGORITHM = AES_128

ENCRYPTION BY PASSWORD = 'p@$$w0rd';

Desencriptar Coluna - Demo

TDE

Encripta toda a base usando uma chave simétrica

A chave é protegida por outras chaves ou certificados que são protegidos pela master key ou por uma chave assimétrica armazenada em um modulo EKM

Disponível apenas nas versões Enterprise e Developer

O SQL prove técnicas automáticas para otimização das querys

TDE- Demo

Passos

Criar um certificado Backup do certificado Criar uma chave simétrica para a base Alterar o banco para modo de encriptação

ligado Acompanhar a encriptação

Algoritmos

Data Encription (DES) Triple DES RC4 128-bit RC4 DESX 128-bit AES 192-bit AES 256-bit AES

Segurança

Per

form

ance

Certificados

X509v3 – Apenas campos da v1 são usados Limite do tamanho do certificado Nenhuma checagem (CA,

expiração,Subject,etc)

Dúvidas?

26/11/2011 |21 |

Patrocinadores

Obrigado

23