Présentation du chiffrement natif Db2

Le chiffrement Db2® natif utilise une approche à deux niveaux pour le chiffrement des données. Les données sont chiffrées à l'aide d'une clé de chiffrement de données (DEK), qui est à son tour chiffrée à l'aide d'une clé principale (MK). La clé DEK chiffrée est stockée avec les données tandis que la clé MK est stockée dans un magasin de clés externe à Db2.

Le chiffrement Db2 natif garantit que la clé DEK n'est jamais exposée en dehors de la base de données chiffrée, du journal des transactions ou du fichier de sauvegarde. Aucune interface n'est fournie pour accéder à la clé DEK sous forme de texte en clair ou sous forme chiffrée. Comme la MK est stockée dans un autre emplacement que les données chiffrées, la probabilité que la clé DEK chiffrée soit simultanément exposée avec la MK utilisée pour la chiffrer est très improbable. Le risque d'exposition à la DEK étant extrêmement faible, la nécessité de la faire tourner est négligeable. La rotation de la MK, qui est utilisée pour protéger la clé DEK, peut être effectuée efficacement sans qu'il soit nécessaire de déchiffrer et de rechiffrer les données

Clé de chiffrement de données (DEK)

Db2 chiffre les données à l'aide d'une clé de chiffrement de données (DEK) avant que les données ne soient écrites sur le disque. La clé DEK est stockée, chiffrée par la clé principale (MK), dans la base de données ou l'image de sauvegarde. La clé DEK elle-même est générée par Db2 selon les besoins, par exemple lorsqu'une base de données chiffrée ou une sauvegarde de base de données chiffrée est créée. Une clé DEK unique existe pour chaque base de données chiffrée et pour chaque sauvegarde chiffrée.

Clé principale (MK)

Une clé principale (MK) est une clé de chiffrement utilisée pour chiffrer une clé de chiffrement de données (DEK). Chaque base de données chiffrée est associée à une clé principale à la fois. Sauf indication contraire, Db2 génère automatiquement un MK au cours des opérations suivantes:
  • Création de base de données
  • Rotation de la clé principale
  • Restauration dans une nouvelle base de données
Les clés principales sont identifiées par un libellé utilisé par Db2 pour identifier chaque clé principale de manière unique. Par défaut, Db2 crée un libellé pour chaque nouvelle valeur MK créée. Vous pouvez remplacer ce comportement en fournissant un libellé spécifique pour un MK particulier. Les raisons de la création d'une MK avec une étiquette particulière sont les suivantes:
  • suivi des labels MK et de leurs clés correspondantes pour la récupération hors site sans que la totalité du magasin de clés soit disponible sur le site de sauvegarde
  • disposer d'une paire HADR qui nécessite des clés synchronisées
  • chiffrement d'une sauvegarde pour une base de données non chiffrée

Magasin de clés

Les clés principales sont stockées dans un magasin de clés. Un magasin de clés peut être un fichier directement accessible par Db2 (local) ou un magasin de clés tiers avec lequel Db2 communique sur le réseau (centralisé).

Remarque: une instance Db2 peut être configurée pour un magasin de clés à la fois pour le chiffrement natif.

Magasins de clés pris en charge par Db2

Le chiffrement natif de Db2 peut interagir avec les keystores suivants :
  • Un fichier de clés local qui respecte le format de fichier d'archive #12 PKCS (Public Key Cryptography Standards) pour le stockage des objets de cryptographie
    Remarque: PKCS est une norme OASIS pour la cryptographie à clé publique. Les numéros 11 et 12 font référence à des parties spécifiques de la norme.
  • Magasin de clés centralisé accessible à l'aide de l'une des méthodes suivantes:
    • Tout produit de gestionnaire de clés prenant en charge le protocole KMIP (Key Management Interoperability Protocol) version 1.1 ou ultérieure. Un gestionnaire de clés est un logiciel que vous pouvez utiliser pour créer, mettre à jour et sécuriser un magasin de clés.
      Remarque: KMIP est une norme OASIS pour le protocole de réseau lié à la gestion des clés.
    • L'un des modules HSM (Hardware Security Modules) pris en charge suivants qui utilisent l'API PKCS #11 :
      • Gemalto Safenet HSM (anciennement Luna) version 6.1 (version de microprogramme 6.23.0) et ultérieure
      • Entrust nShield HSM (anciennement nCipher, anciennement Thales), logiciel du monde de la sécurité à partir de la version 11.50

MKs et magasin de clés

Un MK peut être créé directement dans le magasin de clés ou généré par Db2, sur demande, et stocké dans le magasin de clés. Une ou plusieurs clés gérées peuvent exister et chaque clé MK peut être référencée par des bases de données ou des images de sauvegarde Db2 différentes.