• Artikel

Grundlegendes zur erweiterbaren Schlüsselverwaltung

SQL Server stellt Funktionen zur Datenverschlüsselung zusammen mit der erweiterbaren Schlüsselverwaltung (EKM = Extensible Key Management) bereit. Dabei wird der Microsoft Cryptographic API-Anbieter (MSCAPI) zur Verschlüsselung und Schlüsselgenerierung verwendet. Verschlüsselungsschlüssel für die Daten- und Schlüsselverschlüsselung werden in temporären Schlüsselcontainern erstellt und müssen vom Anbieter exportiert werden, bevor sie in der Datenbank gespeichert werden. Dieser Ansatz ermöglicht eine Schlüsselverwaltung mit einer Verschlüsselungsschlüsselhierarchie und Schlüsselsicherung durch SQL Server.

Da die Einhaltung behördlicher Bestimmungen und der Datenschutz immer wichtiger werden, nutzen Organisationen die Verschlüsselung als Lösung für eine "tiefgreifende Verteidigung". Dieser Lösungsansatz ist jedoch häufig mit den Verwaltungstools für die Datenbankverschlüsselung alleine nicht durchführbar. Hardwarehersteller bieten Produkte an, die die Schlüsselverwaltung in Unternehmen mittels Hardwaresicherheitsmodulen (HSM) angehen. HSM-Geräte speichern die Verschlüsselungsschlüssel auf Hardware- oder Softwaremodulen. Dies ist eine sicherere Lösung, da die Verschlüsselungsschlüssel von den Verschlüsselungsdaten getrennt werden.

Etliche Anbieter liefern Hardwaresicherheitsmodule für die Schlüsselverwaltung und die Verschlüsselungsbeschleunigung. HSM-Geräte verwenden Hardwareschnittstellen, bei denen ein Serverprozess als Mittler zwischen einer Anwendung und einem HSM fungiert. Darüber hinaus implementieren die Hersteller MSCAPI-Anbieter mit ihren Modulen, wobei es sich um Hardware oder Software handeln kann. MSCAPI bietet jedoch häufig nur einen Teil der Funktionen an, die von einem HSM bereitgestellt werden. Die Hersteller können außerdem Verwaltungssoftware für Hardwaresicherheitsmodule, Schlüsselkonfiguration und Schlüsselzugriff bereitstellen.

Die HSM-Implementierungen unterscheiden sich zwischen den Herstellern, und für die Verwendung mit SQL Server ist eine gemeinsame Schnittstelle erforderlich. Diese Schnittstelle wird zwar von der MSCAPI bereitgestellt, sie unterstützt allerdings nur einen Teil der HSM-Funktionen. Darüber hinaus gibt es noch weitere Einschränkungen: Symmetrische Schlüssel können beispielsweise nicht durch das System selbst permanent gemacht werden, und es fehlt eine sitzungsgerichtete Unterstützung.

Durch die erweiterbare Schlüsselverwaltung in SQL Server 2008 können EKM-/HSM-Drittanbieter ihre Module bei SQL Server registrieren. Nach der Registrierung können SQL Server-Benutzer die auf den EKM-Modulen gespeicherten Verschlüsselungsschlüssel verwenden. Auf diese Weise kann SQL Server die von diesen Modulen unterstützten erweiterten Verschlüsselungsfunktionen wie die Massenverschlüsselung und -entschlüsselung und Schlüsselverwaltungsfunktionen wie die Schlüsselablaufzeit und die Schlüsselrotation nutzen.

EKM-Konfiguration

Die erweiterbare Schlüsselverwaltung (EKM) steht nur in der Enterprise, Developer und Evaluation Edition von SQL Server zur Verfügung.

Standardmäßig ist die EKM deaktiviert. Wenn Sie die Funktion aktivieren möchten, verwenden Sie wie im folgenden Beispiel dargestellt den sp_configure-Befehl, der über folgende Option und folgenden Wert verfügt:

sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO
HinweisHinweis

Wenn Sie den sp_configure-Befehl für diese Option in anderen Editionen als Enterprise, Developer oder Evaluation verwenden, wird eine Fehlermeldung ausgegeben.

Wenn Sie die Funktion deaktivieren möchten, setzen Sie den Wert auf 0. Weitere Informationen zum Festlegen von Serveroptionen finden Sie unter sp_configure (Transact-SQL).

So verwenden Sie die erweiterbare Schlüsselverwaltung

Durch die erweiterbare Schlüsselverwaltung in SQL Server 2008 können die Verschlüsselungsschlüssel, die die Datenbankdateien schützen, auf einem separaten Medium wie einer Smartcard, einem USB-Gerät oder einem EKM-/HSM-Modul gespeichert werden. Auf diese Weise werden die Daten auch vor Datenbankadministratoren (mit Ausnahme der Mitglieder der sysadmin-Gruppe) geschützt. Die Daten können mit Verschlüsselungsschlüsseln verschlüsselt werden, auf die nur der Datenbankbenutzer auf dem externen EKM-/HSM-Modul zugreifen kann.

EKM hat außerdem folgende Vorzüge:

  • Zusätzliche Autorisierungsprüfung (ermöglicht die Aufgabentrennung)

  • Bessere Leistung bei der hardwarebasierten Verschlüsselung und Entschlüsselung

  • Externe Generierung von Verschlüsselungsschlüsseln

  • Externe Speicherung von Verschlüsselungsschlüsseln (physische Trennung von Daten und Schlüsseln)

  • Abruf der Verschlüsselungsschlüssel

  • Extern gesteuerte Laufzeit der Verschlüsselungsschlüssel (ermöglicht die Rotation der Verschlüsselungsschlüssel)

  • Leichtere Wiederherstellung der Verschlüsselungsschlüssel

  • Kontrollierbare Verteilung der Verschlüsselungsschlüssel

  • Sichere Beseitigung der Verschlüsselungsschlüssel

Sie können die erweiterbare Schlüsselverwaltung für eine Kombination aus Benutzername und Kennwort oder andere Methoden verwenden, die vom EKM-Treiber definiert werden.

VorsichtshinweisVorsicht

Für die Problembehandlung benötigt der technische Support von Microsoft eventuell den Verschlüsselungsschlüssel des EKM-Anbieters. Außerdem kann es sein, dass Sie für die Lösung eines Problems auf Tools und Prozesse des Herstellers zugreifen müssen.

Authentifizierung bei EKM-Geräten

EKM-Module können mehrere Arten der Authentifizierung unterstützen. Jeder Anbieter macht nur eine Art der Authentifizierung für SQL Server verfügbar. Wenn das Modul zum Beispiel die Standardauthentifizierung oder andere Authentifizierungstypen unterstützt, wird nur eine der beiden Arten bereitgestellt.

EKM-gerätespezifische Standardauthentifizierung mit einer Benutzername-/Kennwortkombination

Bei den EKM-Modulen, die die Standardauthentifizierung mit einem Benutzername-/Kennwort--Paar unterstützen, stellt SQL Server eine transparente Authentifizierung über Anmeldeinformationen bereit. Weitere Informationen zu Anmeldeinformationen finden Sie unter Anmeldeinformationen (Datenbankmodul).

Sie können für einen EKM-Anbieter einen Identitätsnachweis (Anmeldeinformationen) erstellen und diesen einem Anmeldenamen (sowohl für Windows- als auch für SQL Server-Konten) zuordnen, sodass der Zugriff auf ein EKM-Modul über eine einzelne Anmeldung möglich ist. Das Identify-Feld im Identitätsnachweis enthält den Benutzernamen und das secret-Feld ein Kennwort für die Verbindung mit einem EKM-Modul.

Falls für einen EKM-Anbieter kein mit einem Anmeldenamen verknüpfter Identitätsnachweis vorliegt, werden die dem SQL Server-Dienstkonto zugeordneten Anmeldeinformationen verwendet.

Einem Anmeldenamen können mehrere Anmeldeinformationen zugeordnet werden, solange sie für unterschiedliche EKM-Anbieter verwendet werden. Pro EKM-Anbieter und Anmeldung darf es jedoch nur einen zugeordneten Identitätsnachweis geben. Die gleichen Anmeldeinformationen können jedoch auch anderen Anmeldenamen zugeordnet werden.

Andere Arten der EKM-gerätespezifischen Authentifizierung

Bei EKM-Modulen, die eine andere Authentifizierung als die Windows-Authentifizierung oder die Kombination aus Benutzername und Kennwort verwenden, muss die Authentifizierung unabhängig von SQL Server erfolgen.

Verschlüsselung und Entschlüsselung durch ein EKM-Gerät

Sie können die folgenden Funktionen verwenden, um Daten mithilfe von symmetrischen und asymmetrischen Schlüsseln zu verschlüsseln und zu entschlüsseln:

Funktion

Referenz

Verschlüsselung mit symmetrischen Schlüsseln

CREATE SYMMETRIC KEY (Transact-SQL)

Verschlüsselung mit asymmetrischen Schlüsseln

CREATE ASYMMETRIC KEY (Transact-SQL)

EncryptByKey(key_guid, 'Klartext', …)

ENCRYPTBYKEY (Transact-SQL)

DecryptByKey(ciphertext, …)

DECRYPTBYKEY (Transact-SQL)

EncryptByAsmKey(key_guid, 'Klartext')

ENCRYPTBYASYMKEY (Transact-SQL)

DecryptByAsmKey(ciphertext)

DECRYPTBYASYMKEY (Transact-SQL)

Datenbankschlüsselverschlüsselung mit EKM-Schlüsseln

SQL Server kann mithilfe von EKM-Schlüsseln andere Schlüssel in einer Datenbank verschlüsseln. Sie können sowohl symmetrische als auch asymmetrische Schlüssel auf einem EKM-Gerät erstellen und verwenden. Sie können systemeigene (nicht-EKM) symmetrische Schlüssel mit asymmetrischen EKM-Schlüsseln verschlüsseln.

Im folgenden Beispiel wird ein symmetrischer Datenbankschlüssel erstellt und mit einem Schlüssel auf einem EKM-Modul verschlüsselt.

CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1

Weitere Informationen zu Datenbank- und Serverschlüsseln in SQL Server finden Sie unter SQL Server und Datenbankverschlüsselungs-Schlüssel (Datenbankmodul).

HinweisHinweis

EKM-Schlüssel können nicht mit anderen EKM-Schlüsseln verschlüsselt werden.

Siehe auch

Aufgaben

Vorgehensweise: Aktivieren von TDE unter Verwendung von EKM

Vorgehensweise: Sichern des Diensthauptschlüssels

Vorgehensweise: Wiederherstellen des Diensthauptschlüssels

Vorgehensweise: Erstellen eines Datenbank-Hauptschlüssels

Vorgehensweise: Sichern eines Datenbank-Hauptschlüssels

Vorgehensweise: Wiederherstellen eines Datenbank-Hauptschlüssels

Verweis

CREATE CRYPTOGRAPHIC PROVIDER (Transact-SQL)

DROP CRYPTOGRAPHIC PROVIDER (Transact-SQL)

ALTER CRYPTOGRAPHIC PROVIDER (Transact-SQL)

sys.cryptographic_providers (Transact-SQL)

sys.dm_cryptographic_provider_sessions (Transact-SQL)

sys.dm_cryptographic_provider_properties (Transact-SQL)

sys.dm_cryptographic_provider_algorithms (Transact-SQL)

sys.dm_cryptographic_provider_keys (Transact-SQL)

sys.credentials (Transact-SQL)

CREATE CREDENTIAL (Transact-SQL)

ALTER LOGIN (Transact-SQL)

CREATE ASYMMETRIC KEY (Transact-SQL)

ALTER ASYMMETRIC KEY (Transact-SQL)

DROP ASYMMETRIC KEY (Transact-SQL)

CREATE SYMMETRIC KEY (Transact-SQL)

ALTER SYMMETRIC KEY (Transact-SQL)

DROP SYMMETRIC KEY (Transact-SQL)

OPEN SYMMETRIC KEY (Transact-SQL)

Konzepte

EKM provider enabled (Option)

Sichern und Wiederherstellen von Verschlüsselungsschlüsseln

Löschen und erneutes Erstellen von Verschlüsselungsschlüsseln

Hinzufügen und Entfernen von Verschlüsselungsschlüsseln für die Bereitstellung für horizontales Skalieren

Vorgehensweise: Erstellen identischer symmetrischer Schlüssel auf zwei Servern