大家好,
不确定这个问题更适合SO还是SF…
PCI合规性要求每年轮换密钥。我经常遇到的"密钥轮换"的定义是先解密数据,然后用新密钥重新加密。真的吗?每个人每年都在解密/加密他们所有的加密数据?
目前,我在3台服务器上有16个数据库,每个数据库中有多个表-这将继续增长。手动执行此操作会引入一个巨大的错误机会,使我的数据不可读。是的,我可以写一些东西来做这件事……但这真的是每个人都在做的吗?你能推荐一个价格合理的第三方工具(我知道这很主观)吗?
我已经看到了一些关于"改变"层次结构中更高的键的建议。我们使用通常推荐的数据库主密钥加密证书的层次结构,证书加密对称密钥,对称密钥加密数据。
首先,这似乎不符合"旋转键"的定义。其次,即使我更改DMK或证书,这也不能阻止数据被相同的对称密钥解密,可能是坏人窃取/破解的。
谢谢!
您没有解密和重新加密整个数据库,只是用于保护数据的对称密钥。在此操作期间数据库是加密的,需要几秒钟。
测试一下,然后写一个简单的脚本,每年做一次。
记住永远保存旧钥匙,这是强烈建议的。例如,它们可能需要恢复旧的备份。