Oracleで暗号化に関する検証 その1

<Oracleで暗号化に関する検証 その1>
ペンネーム:ウィーット

今回から、Oracleを用いての暗号化について検証していきたいと思います。

個人情報保護法やSOX法などの策定が進んでいる中、企業におけるシステムの
セキュリティに注目が集まってきています。
DBにもセキュリティ機能が追加されていますが、Oracleで実現する暗号化につ
いて検証してみたいと思います。

まずは、Oracle10gR2 Enterprise Editionの新機能である「透過的なデータ暗
号化(Transparent Data Encryption 略してTDE)」について検証します。

TDEの特徴は以下の通りです。
・DB全体(Oracle)で共通鍵を生成・維持するため、ユーザーは鍵の管理を行わ
なくてよい
(OS上に鍵が作成されるため、その管理はユーザーが行わなくてはいけない)
・アプリケーションの変更なしで既存のテーブルに暗号化を行うことができる
・暗号化してある項目に索引をつけられる

新規テーブルに対して暗号化の項目を作成する手順と、既存のテーブルに暗号
化を行う手順を行ってみます。

まず準備として共通鍵の作成が必要です。
作成は、以下の手順で行います。

(1)sqlnet.oraに共通鍵の作成場所を指定する。
(2)リスナーを再起動する。
(3)SYSユーザーで鍵(Wallet)を作成する。
(4)dbms_crypto 権限を使用ユーザーに付与する。

テスト環境は以下の通りです。
Red Hat Enterprise Linux AS release 3 (Taroon Update 1)
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0

それでは始めましょう。

(1) sqlnet.oraに共通鍵の作成場所を指定します。
$ORACLE_HOME/network/admin/sqlnet.oraに共通鍵の場所を指定します。

ENCRYPTION_WALLET_LOCATION=
        (SOURCE=(METHOD=FILE)(METHOD_DATA=
        (DIRECTORY=/home/ora102/oracle/oracle/product/10.2.0/db_1)))
                                ↑
                         鍵を生成するディレクトリを指定

上記を指定しない場合は、以下のディレクトリ配下に作成されます。
$ORACLE_BASE/admin/$ORACLE_SID/wallet

(2) リスナーの再起動を行います。

(3) 鍵を生成します。

conn / as sysdba

SQL> alter system set encryption key identified by "xxxxx";

「xxxxx」にパスワードを指定します。

鍵は、sqlnet.oraに指定したディレクトリに「ewallet.p12」という名前で作
成されます。

(4) dbms_crypto 権限を使用ユーザーに付与します。

SQL> grant execute on dbms_crypto to scott;

Grant succeeded.

ようやく環境が整いました。フー!

TDEを使用する環境が整ったので、新規にテーブルを作成する場合と既存のテー
ブルに暗号化を行ってみます。

それでは、新規にテーブルを作成してみましょう。
テーブル名は「emp_encrypt」とします。

SQL> create table emp_encrypt (
        empno   number(4) not null,
        ename   varchar2(10),
        job             varchar2(9),
        mgr             number(4),
        hiredate        date,
        sal             number(7,2) encrypt not null,
        comm    number(7,2),
        deptno  number(2)
) tablespace encrypt;

表が作成されました。

暗号化する項目に対して「encrypt」を指定します。

次に、暗号化している「sal」の項目に対してインデックスを作成してみましょう。

**********************************************************************

SQL> create index idx_emp_encrypt on scott.emp_encrypt (sal);
create index idx_emp_encrypt on scott.emp_encrypt (sal)
                                                   *
行1でエラーが発生しました。:
ORA-28338: 索引付けされた列は、saltを使用して暗号化できません

**********************************************************************

お、エラーが出力されました。saltというのは乱数を生成して暗号化対象のデー
タを一定のビット長に補正(パディング)し、暗号化を行えるようにする機能で
す。暗号化の単位となるブロック長に満たない場合は、一定以上の長さを持つ
乱数で補正をしているようです。
この乱数(salt)指定があるとインデックスの作成が出来ないようです。

暗号化をする際に、乱数を付加されないように変更してみます。
新規に作成する時には、「no salt」オプションとして再度作成してみましょう。

**********************************************************************

SQL> create table emp_encrypt (
        empno   number(4) not null,
        ename   varchar2(10),
        job             varchar2(9),
        mgr             number(4),
        hiredate        date,
        sal             number(7,2) encrypt no salt not null,
        comm    number(7,2),
        deptno  number(2)
) tablespace encrypt;
  2    3    4    5    6    7    8    9   10
表が作成されました。

SQL> create index idx_emp_encrypt on scott.emp_encrypt (sal);

索引が作成されました。

**********************************************************************

既存のテーブルへの暗号化は以下のコマンドで実行します。

**********************************************************************
alter table 対象テーブル名(項目名 encyrpt); <—- インデックスを作
成しない場合
alter table 対象テーブル名(項目名 encrypt no salt); <—- インデックス
を作成または
既存する場合
**********************************************************************

既にインデックスがあり、no saltオプションを指定しない場合、以下のエラー
が出力されます。

**********************************************************************

行1でエラーが発生しました。:
ORA-28338: 索引付けされた列は、saltを使用して暗号化できません

**********************************************************************

乱数(salt)オプションについては、USER_ENCRYPTED_COLUMNSビューのSALの項目
を参照します。

**********************************************************************

SQL> select * from USER_ENCRYPTED_COLUMNS where TABLE_NAME='EMP_ENCRYPT';

TABLE_NAME                COLUMN_NAME               ENCRYPTION_ALG           SAL
------------------------- ------------------------- ------------------------ ---
EMP_ENCRYPT               SAL                       AES 192 bits key         YES

**********************************************************************

暗号化された項目に紐付けられたインデックスが本当に使用されているのか
SQL_TRACEから確認をしてみましょう。

**********************************************************************

SQL> select * from emp_encrypt where sal = 1600;

**********************************************************************

このSQLの実行結果です。

**********************************************************************

実行計画
-------  ---------------------------------------------------
      0  SELECT STATEMENT   MODE: ALL_ROWS
      1   TABLE ACCESS   MODE: ANALYZED (BY INDEX ROWID) OF 'EMP_ENCRYPT'
              (TABLE)
      0    INDEX   MODE: ANALYZED (RANGE SCAN) OF 'IDX_EMP_ENCRYPT'
               (INDEX)

**********************************************************************

インデックスが正しく使われていることがわかりました。
(統計情報の取得を行っております。)

鍵を使用停止(close)して、検索をしてみましょう。

**********************************************************************

SQL> conn / as sysdba
接続されました。
SQL> alter system set wallet close;

システムが変更されました。

SQL> conn scott/tiger
接続されました。

SQL> select * from emp_encrypt where EMPNO = 7499;
select * from emp_encrypt where EMPNO = 7499
              *
行1でエラーが発生しました。:
ORA-28365: ウォレットがオープンしていません

**********************************************************************

それでは、暗号化をしていない項目だけの検索は出来るでしょうか?

**********************************************************************

SQL> select EMPNO,ENAME,JOB,MGR,HIREDATE,COMM,DEPTNO from emp_encrypt
  2  where empno = 7499;

 EMPNO ENAME      JOB              MGR HIREDATE       COMM     DEPTNO
------ ---------- --------- ---------- -------- ---------- ----------
  7499 ALLEN      SALESMAN        7698 81-02-20        300         30

**********************************************************************

暗号化機能を使用するには、Walletをopenします。

**********************************************************************

SQL> conn / as sysdba
接続されました。

SQL> alter system set wallet open identified by "xxxxx";

システムが変更されました。

SQL> conn scott/tiger
接続されました。

SQL> select * from emp_encrypt where sal = 1600;

 EMPNO ENAME      JOB              MGR HIREDATE        SAL       COMM     DEPTNO
------ ---------- --------- ---------- -------- ---------- ---------- ----------
  7499 ALLEN      SALESMAN        7698 81-02-20       1600        300         30

**********************************************************************

おおお、出来ました。
暗号化された項目の表示には、「Wallet」がOPENされていないと駄目なようで
す。

次週は、既存のテーブルに暗号化項目を追加したときのパフォーマンスの測定
とExport/Importについて検証をしてみたいと思います。

秋を実感しつつある茅ヶ崎にて