【发布时间】:2018-12-11 23:51:54
【问题描述】:
使用 SQL Server SSL(连接字符串中的 Encrypted=true)+ TDE 与使用 SQL Server Always Encrypted 有什么区别?
关于 RGPD,哪一种比另一种更适应?
【问题讨论】:
-
它保护不同的方面。 TDE(静态数据)/SSL(连接 - 传输中的数据)
标签: sql-server ssl always-encrypted tde
【发布时间】:2018-12-11 23:51:54
【问题描述】:
Always Encrypted 的存在不仅仅是为了解决确保数据在传输过程中加密的问题。事实上,这甚至不是 Always Encrypted 解决的主要问题。
Always Encrypted 解决的大问题是 使用透明数据加密 (TDE),保护加密数据的密钥和证书本身存储在数据库中。这可能会引起某些人的担忧考虑将他们的 SQL Server 数据库放在云中,因为云提供商最终拥有解密数据的秘密。
使用 Always Encrypted,用于加密/解密列数据的列加密密钥 (CEK) 以其加密形式存储在数据库中。但关键在于 - 用于加密/解密 CEK 的密钥存储在数据库之外,数据库无法自行解密数据。
数据库能做的只有
- 提供加密的 CEK,
- 提供 CMK 的位置,并
- 提供/存储预加密数据。
由客户端从密钥/证书存储中获取列主密钥 (CMK),然后使用 CMK 解密 CEK,并使用解密后的 CEK 加密/解密数据。
这就是概念上的差异。以下是详细介绍它的几页:
- Overview of Key Management for Always Encrypted(微软文档)
- SQL Server Encryption: Always Encrypted(Redgate 文章)
请注意,Always Encrypted 在查询数据和其他方面存在一些严重缺陷。 This article 给出了一个很好的限制列表。使用Always Encrypted with secure enclaves 可以缓解其中一些缺点。
【讨论】: