MS SQL Server şifreleme ve yedeklemelerini anlama

13

Bu yüzden sohbet içinde SQL Server yedek dosyalarının ne kadar güvenli olduğunu soruyordum .

Bir saldırganın şifrelenmemiş .bak dosyasına erişimi varsa, verilere erişebileceği söylendi.

Şimdi bu senaryoya bakalım: 

OPEN SYMMETRIC KEY MySymetricKey DECRYPTION
BY CERTIFICATE MyCertificate

uyarı - burada şifre yok.

ve sonra tablolarımızı şu şekilde şifreliyoruz:

UPDATE tbl1
 SET namePAss = ENCRYPTBYKEY(KEY_GUID('MySymetricKey'),name)
GO

Şimdi hacker'ın dosyamı aldığını söyleyelim bak. Verileri (kendi bilgisayarında ve sql sunucusunda) görüntülemek için tek yapması gereken:

SELECT  
       convert( NVARCHAR(max), decryptbykey(namePAss)) 
FROM tbl1

Yine de verilere erişebilecek mi?

sql-server  security 
Royi Namir
kaynak

Yanıtlar:

9 
OPEN SYMMETRIC KEY MySymetricKey DECRYPTION`  
 BY CERTIFICATE MyCertificate`

uyarı - burada şifre yok.

Evet var. Sertifikayı bir MyCertificate şekilde açtınız değil mi? Birkaç durum olabilir, ancak herhangi biri bir parola ile sonuçlanır:

  • sertifikayı bir şifre kullanarak açtınız (açıkçası, bu durumda bir şifre var)
  • sertifika veritabanı ana anahtarıyla şifrelenir ve DBMK parolasını kullanarak veritabanı ana anahtarını açtınız -> bu parola
  • sertifika veritabanı ana anahtarıyla ve DBMK hizmet ana anahtarıyla şifrelenir. Hizmet ana anahtarı sırayla, hesap parolası -> ile şifrelenen ve bu parola olan hizmet hesabı DPAPI depolama anahtarı kullanılarak açıldı

Son anahtarda parola yok gibi görünüyor , ancak bir tane var: hizmet hesabı parolası. Yedekleme, farklı bir ana bilgisayarda geri yüklendiğinde, veritabanı ana anahtarının hizmet ana anahtarı şifrelemesinden yoksun olacak ve bu da verilere erişilemez hale gelecektir.

Bkz. Şifreleme Hiearchy

Remus Rusanu
kaynak
HI, evet bir şifre var ama önceki aşamada. Ben oluştururken: CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'DB Master key password!' GO- Ben bir şifre ile yarattım. ama garip bir şey, ben açtığınızda - bu şifreyi sadece yapıştırılan kod olduğunu gerekmez . Anlamadığım şey bu. Ben bir hacker im - ben oluşturmak için kullanılan şifre umurumda değil. tek yapmam gereken OPEN SYMMETRIC KEY MySymetricKey DECRYPTION sertifika CETTICICATE MyCertificate` ve burada şifre YOK. lütfen beni
düzelt
3
@RoyiNamir Remus'un son kurşun noktasına bakın. Sen değil belirterek şifreyi ancak sertifika sonuçta hizmet hesabı şifre ile bu durumda korunur.
Mark Storey-Smith
@Remus lütfen yeni soruma bir göz atabilir misiniz (çok ilgili) dba.stackexchange.com/questions/29287/…
Royi Namir
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.