Auswählen eines Verschlüsselungsalgorithmus

  • Artikel

Gilt für:SQL ServerAzure SQL-DatenbankAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)

Die Verschlüsselung ist eine von mehreren Schutzmaßnahmen, die dem Administrator zur Verfügung stehen, der eine Instanz von SQL Server sichern möchte.

Mit Verschlüsselungsalgorithmen werden Datentransformationen definiert, die von unbefugten Benutzern nicht leicht umgekehrt werden können. In SQL Server können Administratoren und Entwickler zwischen mehreren Algorithmen wählen, z. B. DES, Triple DES, TRIPLE_DES_3KEY, RC2, RC4, 128-Bit RC4, DESX, 128-Bit AES, 192-Bit AES und 256-Bit AES.

Ab SQL Server 2016 (13.x) gelten alle anderen Algorithmen als AES_128, AES_192 und AES_256 als veraltet. Sie müssen den Kompatibilitätsgrad zwischen Datenbanken auf maximal 120 festlegen, um ältere Algorithmen zu verwenden (nicht empfohlen).

Auswählen des richtigen Algorithmus

Keiner der Algorithmen ist für alle Situationen ideal, und Richtlinien zu den Vorteilen der einzelnen Algorithmen würden den Rahmen dieses Artikels sprengen. Es gelten jedoch die folgenden allgemeinen Prinzipien:

  • Eine starke Verschlüsselung verbraucht im Allgemeinen mehr CPU-Ressourcen als eine schwache Verschlüsselung.

  • Lange Schlüssel führen in der Regel zu einer stärkeren Verschlüsselung als kurze Schlüssel.

  • Asymmetrischer Verschlüsselung ist langsamer als symmetrische Verschlüsselung.

  • Lange, komplexe Kennwörter sind stärker als kurze Kennwörter.

  • Die Symmetrische Verschlüsselung wird empfohlen, wenn der Schlüssel nur lokal gespeichert wird. Die asymmetrische Verschlüsselung wird empfohlen, wenn Schlüssel über das Netzwerk hinweg freigegeben werden müssen.

  • Falls Sie viele Daten verschlüsseln, sollten Sie die Daten mithilfe eines symmetrischen Schlüssels verschlüsseln und den symmetrischen Schlüssel mit einem asymmetrischen Schlüssel verschlüsseln.

  • Verschlüsselte Daten können nicht komprimiert werden, aber komprimierte Daten können verschlüsselt werden. Falls Sie die Komprimierung verwenden, sollten Sie die Daten vor dem Verschlüsseln komprimieren.

Weitere Informationen zu Verschlüsselungsalgorithmen und der Verschlüsselungstechnologie finden Sie unter Schlüsselbegriffe der Sicherheit.

Veralteter RC4-Algorithmus

Der RC4-Algorithmus wird nur aus Gründen der Abwärtskompatibilität unterstützt. Neues Material kann nur mit RC4 oder RC4_128 verschlüsselt werden, wenn die Datenbank den Kompatibilitätsgrad 90 oder 100 besitzt (nicht empfohlen). Verwenden Sie stattdessen einen neueren Algorithmus, z. B. einen der AES-Algorithmen. In SQL Server 2012 (11.x) und höheren Versionen kann mit RC4 oder RC4_128 verschlüsseltes Material in jedem Kompatibilitätsgrad entschlüsselt werden.

Die wiederholte Verwendung der gleichen RC4 oder RC4_128KEY_GUID für unterschiedliche Datenblöcke führt zum gleichen RC4-Schlüssel, da SQL Server nicht automatisch eine Salt bereitstellt. Die wiederholte Verwendung des gleichen RC4-Schlüssels stellt einen bekannter Fehler dar, der zu einer schwachen Verschlüsselung führt. Deshalb wurden das RC4- und das RC4_128-Schlüsselwort als veraltet festgelegt. Diese Funktion wird in einer zukünftigen Version von SQL Serverentfernt. Nutzen Sie diese Funktionen bei Neuentwicklungen nicht mehr, und planen Sie die Änderung von Anwendungen, die diese Funktion zurzeit verwenden.

Erläuterung der DES-Algorithmen

DESX wurde falsch benannt. Symmetrische Schlüssel, die mit ALGORITHM = DESX erstellt sind, verwenden eigentlich die Triple DES-Chiffre mit einem 192-Bit-Schlüssel. Der DESX-Algorithmus wird nicht bereitgestellt. Diese Funktion wird in einer zukünftigen Version von SQL Serverentfernt. Nutzen Sie diese Funktionen bei Neuentwicklungen nicht mehr, und planen Sie die Änderung von Anwendungen, die diese Funktion zurzeit verwenden.

Symmetrische Schlüssel, die mit ALGORITHM = TRIPLE_DES_3KEY erstellt sind, verwenden die Triple DES-Chiffre mit einem 192-Bit-Schlüssel.

Symmetrische Schlüssel, die mit ALGORITHM = TRIPLE_DES erstellt sind, verwenden die Triple DES-Chiffre mit einem 128-Bit-Schlüssel.

Zugehöriger Inhalt