美好的一天,
不确定这个问题是否更适合SO或SF ......
PCI合规性要求每年轮换密钥。我不断遇到的“密钥轮换”的定义是解密您的数据,然后使用新密钥重新加密。真?每个人都在每年解密/加密所有加密数据?
目前,我在3台服务器上拥有16个数据库,每个数据库中有多个表 - 这将继续增长。手动执行此操作会带来错误的巨大机会,使我的数据无法读取。是的,我可以写一些东西来做这件事......但这真的是每个人都在做什么吗?你能推荐一款价格实惠(主观,我知道)的第三方工具吗?
我已经看到一些关于“更改”层次结构中更高层的密钥的建议。我们使用经常推荐的数据库主密钥层次结构来加密证书,该证书会加密对称密钥,该对称密钥会对数据进行加密。
首先,这似乎不符合“旋转钥匙”的定义。其次,即使我更改了DMK或证书,也不会阻止使用相同的对称密钥对数据进行解密,这可能是 bad guy 被盗/破解。
谢谢!
答案 0 :(得分:0)
您不是在解密和重新加密整个数据库,而只是用于保护数据的对称密钥。数据库在此操作期间被加密,需要几秒钟。
只需测试它,然后编写一个每年都会执行此操作的简单脚本。
请记住永远保留旧密钥,强烈建议这样做。他们可能需要例如恢复旧备份。