我浏览了整套“Oracle 数据库 11g 第 2 版 (11.2) 文档”,寻找用于使用 HSM 进行透明数据加密 (TDE) 的主加密密钥的详细信息。在整套文档中只有一条微不足道的行说它使用了 AES。
令我惊讶的是,没有提到 AES 模式(CBC、ECB 等)和使用以下命令生成的主密钥的密钥长度,而对于大多数人来说,它可能是重要信息。我错过了什么?有人有什么想法吗?
SQL> ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "user_Id:password"
以下答案引自Oracle 论坛。
“Oracle TDE 通过 PKCS#11 专门要求 HSM 生成 AES256 密钥。”
获取 Oracle 数据库高级安全管理员指南 11g R2 (E10746-02): http ://www.foodpicky.com/download/docs/Oracle/Oracle_ASO_AdminGuide_11gR2_e10746.pdf
密钥加密密钥总是应该等于或长于数据加密密钥;因此 TDE 主密钥始终是 AES、ARIA、SEED(只有 128 个)和 GOST 中最长的。此外,Oracle 不支持第 3 方 HSM。