问题标签 [tde]

我们已经为 Cassandra DSE 中的所有表实现了 TDE。我们使用 AES/ECB/PKCS5Padding / 128 作为密码算法生成了一个系统密钥。

我们还为少数需要 cdc 捕获的表启用了 cdc。由于为表启用了 TDE，因此 cdc 日志也被加密。

我们需要将 cdc 捕获推送到 kafka 主题。我们尝试使用 system_key 文件中自动生成的 system_key 解密文件。

AES/ECB/PKCS5Padding:128:(key)

但是我们得到 java.security.InvalidKeyException: Illegal key size or default parameters

请告知这是否是可用于解密 cdc 日志的密钥或建议任何解决方案。

下面是我们用于解密的片段。

两年前，我在 SQL Server 2008 中使用以下代码加密（TDE）数据库

我对 DB 数据库和 certificate_DB_Certificate.cer 和 certificate_DB_Key.pvk 进行了完整备份，并将其保存到我的硬盘上。两年后，我用不同的电脑恢复了 MASTER KEY 和 CERTIFICATE，所以我可以恢复备份文件

运行代码后，我收到了这条消息

警告：您创建的证书已过期。

因此，我删除了证书并将 PC 日期更改为 2015/Jun（创建证书的日期）然后我使用成功完成的命令再次重新创建证书，但是当我恢复备份文件时，我收到了这条消息

还原数据库“DB”失败。
(Microsoft.SqlServer.Management.RelationalEngineTasks) System.Data.SqlClient.SqlError：找不到带有指纹“0xFC01AD2683E08A4C8CD6A0F037DC66A945FBA44D”的服务器证书。(Microsoft.SqlServer.SmoExtended)

有什么建议么？

我正在为我的应用程序使用大型数据库，并且我已经使用 TDE 方法加密了数据库。加密需要更多时间。大型数据库需要加密多长时间？我们可以在加密过程中访问数据库以插入/检索数据吗？

这里的目标是： 协助客户配置他的 Key Vault，以便他能够启用 TDE 加密并通过政府门户 url 访问它

客户逐字逐句：“我在尝试为 SQL Server 2016 启用 TDE 时遇到问题。我附上了一些显示问题的文件。基本上问题是当 SQL 尝试连接到它使用公共的 Azure Key Vault 时后缀 (azure.net) 而不是 govcloud 后缀 (usgovcloudapi.net)。如何强制它使用正确的 URL？” https://vant4gekeyvault.vault.usgovcloudapi.net/

我认为问题在于这是一个政府租户，他一直使用商业 URL，但我们无法强制使用正确的 URL。我向他发送了有关如何将 AzureKeyVaultServiceEndpointResourceId 的 Set-AzureRmEnvironment 设置为 *.vault.usgovcloudapi.net 的说明，应该是https://vault.usgovcloudapi.net。但这似乎不起作用。我也可能在这个假设上有些偏离，因为我在 KV 中并不是那么出色。任何想法或已知的修复？

这是他的错误消息： ---SQL Msg 33049, Level 16, State 2, Line 17 Key with name 'SqlTDEKey' 在提供程序中不存在或访问被拒绝。提供者错误代码：2058。（提供者错误 - 没有解释，详情请咨询 EKM 提供者）

--- 事件日志 找不到来自 Microsoft Azure Key Vault 的源 SQL Server 连接器的事件 ID 2 的描述。引发此事件的组件未安装在本地计算机上，或者安装已损坏。您可以在本地计算机上安装或修复组件。

如果事件起源于另一台计算机，则显示信息必须与事件一起保存。

活动中包含以下信息：

保险库名称：EKM 操作操作：SqlCryptGetKeyInfoByName 密钥名称：N/A 消息：访问注册表时出错：5

Azure SQL Server 默认提供透明数据加密 (TDE)，只需轻按一下虚拟开关即可：

没有选择算法的选项，我没有使用“自带密钥”。

正在使用哪种加密算法，密钥长度是多少？

我发现的所有文章，例如这篇文章和这篇文章，都相互循环引用，没有明确的答案。

这是一个很长的镜头，但在这里。我正在尝试创建此处引用的自定义 SQL Server EKM 加密提供程序 DLL 。

问题是我找不到任何关于如何创建 DLL 的参考资料。我遇到了几年前的讨论，其中提到了创建示例 DLL。不幸的是，现在这会导致“内容已删除”页面。

有什么线索吗？

我有一个 .Net Core 2.1 应用程序（使用 Visual Studio 2017 / SQL Server 2016）。我处于安全阶段。我寻找一个尊重 GDPR 规范的解决方案。

选择了 TDE（透明数据加密）来加密数据库（AlwaysEncrypted 还不能用于 .Net Core）。但是使用 TDE，我们加密了唯一的数据库，而不是我的数据库和我的应用程序之间的通道。我使用 Entity Framework Core 来访问我的数据库。

你知道如何加密我的数据库和我的应用程序之间的通道吗？

使用 SQL Server SSL（连接字符串中的 Encrypted=true）+ TDE 与使用 SQL Server Always Encrypted 有什么区别？

关于 RGPD，一个比另一个更适应吗？

我收到的任务是提供将高度敏感的数据导入 SQL Server 2012 的可能性。关于数据有相当高的限制和要求：

• 开发团队（包括我）和 DBA 都不允许查看（生产）数据

• 数据必须从 csv 文件中导入 - 我们也无法访问这些文件

• 只有两个专用用户可以访问上述数据

• 目前数据将仅通过 SSRS 处理，但可能必须将其加载到多维数据集

现在，由于兼容性滞后（如前所述：仅 SQL Server 2012 可用）在网络上磕磕绊绊并详细说明了许多不错的方法，例如“始终加密”（如前所述：SQL Server 2012 可用），我绊倒了“TDE”并想知道这是否能满足要求？如果我没记错的话，它应该涵盖大部分提到的主题：

• 通过证书加密

• 可以为每个用户分配证书

• 数据库内的数据加密 - 因此没有证书的用户无法读取数据

• 证书将被所有应用程序（如 SSRS、SSAS 等）识别 - 因此此处无需特殊编码即可执行解密

因此，如果正确配置了 csv 的导入（包含源文件的安全路径等）并将数据存储到加密数据库中，则数据应该得到很好的保护......

这里有没有人已经有关于这个话题的经验？有没有人有任何更好的建议/其他想法如何实现高度敏感数据的存储？任何帮助将不胜感激。

我正在尝试使用 powershell 使用服务主密钥加密 SQL Server 主数据库中的主密钥。

主密钥详细信息使用 SMO 列出，如下所示。

Master Key 有一个方法，AddServiceKeyEncryption()，如此处所述。

我正在尝试使用这种方法，如下所示。但是，它会抛出一个错误，该错误位于命令下方。

有人可以在这里帮忙吗。

添加完整错误：