Şifreleme hiyerarşisi
SQL Server verileri hiyerarşik şifreleme ve anahtar yönetimi altyapısı ile şifreler.Her katmanın altındaki katmanı bir simetrik anahtarlar sertifikaları ve asimetrik anahtarları kullanarak şifreler.Asimetrik anahtarları ve simetrik anahtarlar depolanmış dışında SQL Server bir Genişletilebilir Anahtar Yönetimi (ekm) modülü.
Her katmanı şifreleme hiyerarşisi altındaki katmanı şifreler ve en sık kullanılan şifreleme yapılandırmalarını görüntüler aşağıda gösterilmiştir.Hiyerarşi ın erişim genellikle bir parolayla korunuyor.
.gif "Bazı şifreleme kombinasyonlarını yığın içinde görüntüler.")
Aşağıdaki kavramlar göz önünde bulundurun:
En iyi performansı elde etmek için sertifikalar veya asimetrik anahtarlar yerine simetrik anahtarlar kullanarak verileri şifreleme.
Veritabanı ana anahtarlar, hizmet ana anahtar tarafından korunur.Hizmet ana anahtar tarafından oluşturulan SQL Server Kurulum ve Windows veri koruma API (DPAPI) ile şifrelenmiş.
Diğer şifreleme hiyerarşileri ek katmanlar yığınlama mümkün olabilir.
Genişletilebilir Anahtar Yönetimi (ekm) modülü simetrik veya asimetrik anahtarları sql Server'ın dışında tutar.
Saydam veri şifrelemesi (tde) veritabanı ana anahtar tarafından korunan ya da bir sertifika tarafından korunan veritabanı şifreleme anahtarı olarak adlandırılan bir simetrik anahtar kullanmak gerekir asıl veritabanı, ya da içinde bir ekm depolanan bir asimetrik anahtar tarafından.
Hizmet ana anahtar ve tüm veritabanı ana anahtarlar, simetrik anahtarlar şunlardır.
Aşağıdaki resimde, alternatif bir şekilde aynı bilgileri gösterir.
.gif "Bazı şifreleme kombinasyonlarını pasta grafiği üzerinde görüntüler.")
Bu diyagramda, aşağıdaki ek kavramları gösterilmektedir:
Bu resimde, ortak şifreleme hiyerarşileri okları gösterir.
Simetrik ve asimetrik anahtarları ekm depolanan simetrik ve asimetrik anahtarları için erişim Koruyabileceğiniz SQL Server.ekm ile ilişkili noktalı çizgi anahtarlarında ekm depolanan simetrik ve asimetrik anahtarları değiştirmek gösterir SQL Server.
Şifreleme mekanizmaları
SQL Server Aşağıdaki şifreleme mekanizmaları sağlar:
Transact-SQL işlevler
Asimetrik anahtarları
Simetrik anahtarlar
Sertifikalar
Saydam veri şifrelemesi
Transact-sql işlevleri
Tek tek öğeler şifreli olarak eklenen veya güncelleştirilen kullanarak Transact-SQL fonksiyonlar.Daha fazla bilgi için bkz: encryptbypassphrase (Transact-sql) ve decryptbypassphrase (Transact-sql).
Sertifikalar
Genellikle yalnızca sertifika olarak adlandırılan ortak anahtar sertifikası, bir dijital olarak imzalanmış olup deyim kişinin, aygıtın veya ilişkili özel anahtarı bulunduran hizmet kimliğinin, bağlar bir ortak anahtarın değerini.Sertifikaları veren ve bir sertifika yetkilisi (ca) tarafından imzalanmış.varlık , Bir CA'dan sertifika aldığında sertifika konusudur.Genellikle, sertifikaları aşağıdaki bilgileri içerir.
Konunun ortak anahtar.
Konu, ad ve e-posta adresi gibi tanımlayıcı bilgiler.
Geçerlilik süresi.Bu uzunluğunda saat sertifikanın geçerli kabul.
sertifika yalnızca süre için geçerli olan saat içeriğinde; belirtilen Her sertifika içerir Geçerlilik başlangıcı ve İçin geçerli tarih.Bu tarihler geçerlilik süresinin sınırlarını küme.Bir sertifikanın geçerlilik süresi geçtiğinde, yeni bir sertifika sertifika özne tarafından istenmesi gerekir.
Sertifikayı verenin kimlik bilgileri.
Sertifikayı verenin sayısal imzası.
Bu imza geçerliliği için geçerliliğini bağlama ortak anahtar ile tanımlayıcı bilgileri mesafesini arasında.(Bilgilerin yanı sıra, gönderen tarafından bir imza olarak adlandırılan bir etikete bazı gizli bilgilerle dönüştürme bilgileri dijital olarak imzalama işlemi kapsar.)
Bunlar korumak gerek ana hafifletmek sertifikaların yararı olan bir küme özneler için parola.Bunun yerine, ana güvende yalnızca kuran bir sertifika veren, hangi sonra imzalama sertifikaları sınırsız sayıda.
Güvenli Web sunucusu gibi bir ana bir veren güvenilen kök yetkilisi olarak kabul ettiğinde, ana örtülü olarak veren sertifikalarla sağlanan bağlantıları oluşturmak için kullandığı ilkelere koşulsuz güvenir.Etkili, ana bilgisayar, sertifikayı verenin sertifika öznesinin kimliğini doğruladığına güvenir.Bir ana bilgisayar, ana bilgisayarın güvenilen kök sertifika yetkilisi sertifika deposuna otomatik olarak imzalanan sertifika verenin ortak anahtar içeren sertifikayı verenin yerleştirerek bir veren güvenilen kök yetkilisi olarak belirler.Ara veya yan sertifika yetkililerinin yalnızca geçerli bir sertifika varsa güvenilir yol bir güvenilen kök sertifika yetkilisi.
Süresi dolmadan önce sertifikayı veren sertifika iptal edebilirsiniz.İptal eder iptal bağlama bir ortak anahtar için sertifika hattının bir kimlik.Her veren herhangi bir sertifika geçerliliği denetlenirken, programları tarafından kullanılabilecek bir sertifika iptal listesi tutar.
Otomatik olarak imzalanan sertifikalar tarafından oluşturulan SQL Server x.509 standardını izleyin ve Destek x.509 v1 alanları.
Asimetrik anahtarları
Bir asimetrik anahtar, özel anahtar ve ortak anahtar oluşur.Her anahtar diğer tarafından şifrelenmiş verilerin şifresini çözebilir.Asimetrik şifreleme ve şifre çözme olan görece kaynak-yoğun, ancak daha yüksek bir güvenlik düzey daha simetrik şifreleme sağlar.Bir birsimetrik anahtar şifrelemek için kullanılan bir simetrik anahtar bir veritabanında depolamak için.
Simetrik anahtarlar
Simetrik anahtar şifreleme ve şifre çözme için kullanılan bir anahtardır.Şifreleme ve şifre çözme bir simetrik anahtar kullanarak hızlı ve rutin kullanım için uygun gizli veri veritabanı.
Saydam veri şifrelemesi
Saydam veri şifrelemesi (tde) olan özel bir durum kullanarak bir simetrik anahtar şifreleme.tde tüm veritabanı veritabanı şifreleme anahtarı olarak adlandırılır, simetrik anahtar kullanarak şifreler.Veritabanı şifreleme anahtarı diğer anahtarlar veya veritabanı ana anahtar veya korumalı sertifikaları bir ekm modülü içinde saklanan bir asimetrik anahtar tarafından korunur.Daha fazla bilgi için bkz: Saydam veri şifrelemesi (tde) Anlama.