Visión general del cifrado nativo de Db2
El cifrado nativo de Db2® utiliza un enfoque de dos niveles para el cifrado de datos. Los datos se cifran con una clave de cifrado de datos (DEK), que a su vez se cifra con una clave maestra (MK). La DEK cifrada se almacena con los datos mientras que la MK se almacena en un almacén de claves externo a Db2.
Db2 cifrado nativo garantiza que la DEK nunca se exponga fuera de la base de datos cifrada, el registro de transacciones o el archivo de copia de seguridad. No se proporcionan interfaces para acceder a la DEK en sus formatos de texto simple o cifrado. Como el MK se almacena en una ubicación diferente de los datos cifrados, la posibilidad de que el DEK cifrado se exponga simultáneamente con el MK utilizado para cifrarlo es muy poco probable. Dado que el riesgo de exposición de la DEK es extremadamente bajo, la necesidad de rotarla es insignificante. La rotación del MK, que se utiliza para proteger el DEK, se puede realizar de forma eficiente sin necesidad de descifrar y volver a cifrar los datos
Clave de cifrado de datos (DEK)
Db2 cifra los datos con una clave de cifrado de datos (DEK) antes de que los datos se graben en el disco. La DEK se almacena, cifrada por la clave maestra (MK), dentro de la base de datos o imagen de copia de seguridad. La propia DEK la genera Db2 según sea necesario, como cuando se crea una base de datos cifrada o una copia de seguridad de base de datos cifrada. Existe una DEK exclusiva para cada base de datos cifrada y para cada copia de seguridad cifrada.
Clave maestra (MK)
- Creación de la base de datos
- Rotación de clave maestra
- Restauración en una base de datos nueva
- seguimiento de las etiquetas MK y sus claves correspondientes para la recuperación fuera del local sin tener todo el almacén de claves disponible en el sitio de copia de seguridad
- tener un par HADR que requiere claves sincronizadas
- cifrar una copia de seguridad para una base de datos no cifrada
Almacén de claves
Las claves maestras se almacenan en un almacén de claves. Un almacén de claves puede ser un archivo al que accede directamente Db2 (local) o un almacén de claves de terceros con el que Db2 se comunica a través de la red (centralizada).
Almacenes de claves soportados por Db2
- Un archivo de almacén de claves local que sigue el formato de archivo PKCS (Public Key Cryptography Standards) #12 para almacenar objetos criptográficosNota: PKCS es un estándar OASIS para la criptografía de claves públicas. Los números 11 y 12 se refieren a partes específicas de la norma.
- Un almacén de claves centralizado al que se accede utilizando uno de los métodos siguientes:
- Cualquier producto de gestor de claves que dé soporte a Key Management Interoperability Protocol (KMIP) versión 1.1 o superior. Un gestor de claves es software que puede utilizar para crear, actualizar y proteger un almacén de claves.Nota: KMIP es un estándar OASIS para el protocolo de red que está relacionado con la gestión de claves.
- Uno de los siguientes módulos de seguridad de hardware (HSM) soportados que utilizan la API PKCS #11 :
- Gemalto Safenet HSM (anteriormente Luna) versión 6.1 (versión de firmware 6.23.0) y superior
- Entrust nShield HSM (antes nCipher, antes Thales), software del mundo de la seguridad versión 11.50 y superior
- Cualquier producto de gestor de claves que dé soporte a Key Management Interoperability Protocol (KMIP) versión 1.1 o superior. Un gestor de claves es software que puede utilizar para crear, actualizar y proteger un almacén de claves.
MK y el almacén de claves
Un MK se puede crear directamente en el almacén de claves o se puede generar mediante Db2, previa solicitud, y almacenarse en el almacén de claves. Pueden existir uno o varios MK y se puede hacer referencia a cada MK mediante distintas bases de datos o imágenes de copia de seguridad de Db2 .