有谁知道纯文本CEK如何缓存在内存中?它是作为SecureString存储的吗?可以使用内存转储来窃取密钥吗?
答案 0 :(得分:0)
澄清:Always Encrypted假定客户端值得信任,并保证纯文本CEK仅在可信客户端内存中缓存。我已经简要解释了Always Encrypted提供的安全保证here
纯文本CEK作为byte []而不是Secure String存储在可信客户端内存中。通过获取受信任的客户端计算机的内存转储,可以窃取密钥。
请注意,通过获取SQL Server的内存转储不能窃取密钥。
如果您可以详细说明您的威胁模型并描述您想要保护的方案,我可以提供一些建议。