再会,
不确定这个问题是否更适合 SO 或 SF ......
PCI 合规性要求每年轮换密钥。我不断遇到的“密钥轮换”的定义是解密您的数据,然后用新密钥重新加密。真的吗?每个人每年都在解密/加密他们所有的加密数据?
目前,我在 3 台服务器上拥有 16 个数据库,每个数据库中有多个表——而且这将继续增长。手动执行此操作会带来巨大的错误机会,使我的数据无法读取。是的,我可以写一些东西来做到这一点……但这真的是每个人都在做的事情吗?你能推荐一个负担得起的(主观的,我知道)第 3 方工具吗?
我已经看到了一些关于“更改”层次结构中更高级别的键的建议。我们使用经常推荐的数据库主密钥层次结构加密证书,它加密对称密钥,加密数据。
首先,这似乎不符合“轮换密钥”的定义。其次,即使我更改了 DMK 或 Cert,这也不会阻止使用可能是坏人窃取/破解的相同对称密钥对数据进行解密。
谢谢!