Übersicht über die native Db2 -Verschlüsselung

Die native Db2® -Verschlüsselung verwendet eine zweischichtige Methode zur Datenverschlüsselung. Daten werden mit einem Schlüssel zur Datenverschlüsselung (DEK - Data Encryption Key) verschlüsselt, der wiederum mit einem Masterschlüssel (MK - Master Key) verschlüsselt wird. Der verschlüsselte DEK wird mit den Daten gespeichert, während der MK in einem externen Keystore außerhalb von Db2gespeichert wird.

Die native Db2 -Verschlüsselung stellt sicher, dass der DEK nie außerhalb der verschlüsselten Datenbank, des Transaktionsprotokolls oder der Sicherungsdatei zugänglich gemacht wird. Es gibt keine Schnittstellen, die für den Zugriff auf den DEK im Klartext oder in verschlüsselter Form bereitgestellt wird. Da der Masterschlüssel (MK) an einer anderen Position als die verschlüsselten Daten gespeichert wird, ist die Wahrscheinlichkeit, dass der verschlüsselte DEK gleichzeitig mit dem MK, der zum Verschlüsseln des DEK verwendet wurde, zugänglich wird, sehr gering. Aufgrund der Tatsache, dass das Risiko, dass der DEK offengelegt wird, extrem gering ist, kann die Notwendigkeit, den DEK zu wechseln (Schlüsselrotation), vernachlässigt werden. Die Rotation des MK, der zum Schutz des DEK verwendet wird, kann effizient durchgeführt werden, ohne die Daten entschlüsseln und erneut verschlüsseln zu müssen.

Schlüssel zur Datenverschlüsselung (DEK)

Db2 verschlüsselt Daten mit einem Datenverschlüsselungsschlüssel (DEK), bevor die Daten auf Platte geschrieben werden. Der DEK wird mit dem Masterschlüssel (MK - Master Key) verschlüsselt und in der Datenbank oder im Backup-Image gespeichert. Das DEK selbst wird bei Db2 Bedarf generiert, beispielsweise wenn eine verschlüsselte Datenbank oder eine verschlüsselte Datenbank-Sicherung erstellt wird. Für jede verschlüsselte Datenbank und für jedes verschlüsselte Backup ist ein eindeutiger DEK vorhanden.

Masterschlüssel (MK)

Ein Masterschlüssel (MK - Master Key) ist der Verschlüsselungsschlüssel, der zum Verschlüsseln eines Schlüssels zur Datenverschlüsselung (DEK) verwendet wird. Jeder verschlüsselten Datenbank ist zu einem gegebenen Zeitpunkt nur ein Masterschlüssel zugeordnet. Sofern nicht anders angegeben, generiert Db2 während der folgenden Operationen automatisch einen Masterschlüssel:
  • Datenbankerstellung
  • Masterschlüsselrotation
  • Restore in einer neuen Datenbank
Masterschlüssel werden durch einen Kennsatz identifiziert, der von Db2 verwendet wird, um jeden Masterschlüssel eindeutig zu identifizieren. Standardmäßig erstellt Db2 eine Bezeichnung für jeden neu erstellten Masterschlüssel. Sie können dieses Verhalten außer Kraft setzen, indem Sie einen bestimmten Kennsatz für einen bestimmten Masterschlüssel angeben. Die Erstellung eines Masterschlüssels mit einem bestimmten Kennsatz kann zu folgenden Zwecken sinnvoll sein:
  • Verfolgen der MK-Kennsätze und der entsprechenden Schlüssel für eine Recovery an einem anderen Standort, ohne den gesamten Schlüsselspeicher am Backup-Standort zur Verfügung haben zu müssen
  • Betreiben eines HADR-Paares, für das synchronisierte Schlüssel erforderlich sind
  • Verschlüsseln eines Backups für eine nicht verschlüsselte Datenbank

Schlüsselspeicher

Masterschlüssel werden in einem Schlüsselspeicher (Keystore) gespeichert. Ein Keystore kann eine Datei sein, auf die von Db2 (lokal) direkt zugegriffen wird, oder ein Keystore eines anderen Anbieters, mit dem Db2 über das Netz (zentral) kommuniziert.

Hinweis: Eine Db2 -Instanz kann für jeweils einen Keystore für native Verschlüsselung konfiguriert werden.

Von Db2

Die native Verschlüsselung Db2 kann mit den folgenden Schlüsselspeichern interagieren:
  • Lokale Schlüsselspeicherdatei, die dem Archivdateiformat Public Key Cryptography Standards (PKCS) #12 zum Speichern von Verschlüsselungsobjekten entspricht.
    Hinweis: PKCS ist ein OASIS-Standard für die Verschlüsselung mit öffentlichen Schlüsseln. Die Nummern 11 und 12 beziehen sich bestimmte Teile des Standards.
  • Zentraler Schlüsselspeicher, auf den mit einer der folgenden Methoden zugegriffen wird:
    • Beliebiges Schlüsselmanagerprodukt, das Key Management Interoperability Protocol (KMIP) Version 1.1 oder höher unterstützt. Ein Schlüsselmanager ist ein Softwareprodukt, mit dem Sie einen Schlüsselspeicher erstellen, aktualisieren und schützen können.
      Hinweis KMIP ist ein OASIS-Standard für das Netzprotokoll, der sich auf das Schlüsselmanagement bezieht.
    • Eines der folgenden unterstützten Hardwaresicherheitsmodule (HSM), die die PKCS #11-API verwenden:
      • Gemalto Safenet HSM (früher Luna) Version 6.1 (Firmwareversion 6.23.0) und höher
      • nShield (ehemals nCipher,, ehemals Thales), Security World Software Version 11.50 und höher

Masterschlüssel (MK) und Schlüsselspeicher

Ein MK kann entweder direkt im Keystore erstellt oder von Db2auf Anforderung generiert und im Keystore gespeichert werden. Es kann mindestens ein MK vorhanden sein und jeder MK kann von verschiedenen Db2 -Datenbanken oder Backup-Images referenziert werden.