Việc thay đổi Khóa chính TDE (Khóa chính DB và / hoặc khóa mã hóa DB) luôn yêu cầu giải mã và mã hóa lại? Nếu không, SQL Server đã bắt đầu cho phép bạn thay đổi Khóa chính ở phiên bản nào và không phải giải mã / tái mã hóa?
Nền tảng của tôi là ở Oracle, nơi xử lý TDE hơi khác một chút.
Câu trả lời:
Có phải việc thay đổi Khóa chính TDE luôn yêu cầu giải mã và mã hóa lại không? Khóa chính DB và / hoặc khóa mã hóa DB.
Hai bí mật chính liên quan đến TDE là Khóa mã hóa cơ sở dữ liệu (DEK) và Chứng chỉ máy chủ. DEK là thứ thực sự mã hóa và giải mã dữ liệu trong cơ sở dữ liệu, nhưng Chứng chỉ máy chủ được sử dụng để bảo vệ (trong số các biện pháp bảo vệ khác đã tham gia) Khóa mã hóa cơ sở dữ liệu (DEK).
Đối với câu hỏi của bạn, nếu bạn xoay DEK, bạn phải giải mã và mã hóa tất cả dữ liệu trong cơ sở dữ liệu vì đó là chìa khóa thực hiện việc này.
Tuy nhiên, nếu bạn xoay Chứng chỉ máy chủ bảo vệ DEK, thì sẽ không cần mã hóa dữ liệu hoặc giải mã cơ sở dữ liệu vật lý.
Không quan trọng là phiên bản hoặc loại phần mềm, nếu bạn mã hóa dữ liệu bằng cặp khóa bất đối xứng và muốn xoay sang cặp khóa bất đối xứng khác, trước tiên bạn cần giải mã dữ liệu bằng bộ khóa cũ và mã hóa nó bằng cái mới.