Oracleで暗号化に関する検証 その8

<Oracleで暗号化に関する検証 その8>
ペンネーム:ウィーット

今までTDEを検証してきましたが、このシリーズの最後に10gR1から実装されて
いるもう一つの暗号化機能「DBMS_CRYPTO」を検証しTDEと比較を行ってみまし
ょう!

DBMS_CRYPTOを用いて暗号化・復号化の流れは以下のようになります。
———————————————————————-
INSERTの場合
SQL実行 –> 暗号化(DBMS_CRYPTO関数) –> DB登録

SELECTの場合
SQL実行 –> DBからデータを抽出 –> 復号化(DBMS_CRYPTO関数) –> 表示
———————————————————————-

それでは、DBMS_CRYPTOを用いて暗号化処理を行ってみましょう。

今回はDBMS_CRYPTOを用いて、SQL文から暗号化処理のPACKAGEを呼び出す手順
とします。

下記のPACKAGEを準備します。

=====================================================================
CREATE OR REPLACE PACKAGE SAMPLE_AES_CBC_PKCS5 AS
	FUNCTION SAMPLE_Encrypt(inStr VARCHAR2, key VARCHAR2) RETURN RAW;
	FUNCTION SAMPLE_Decrypt(inRaw RAW, key VARCHAR2) RETURN VARCHAR2;
END SAMPLE_AES_CBC_PKCS5;
/

CREATE OR REPLACE PACKAGE BODY SAMPLE_AES_CBC_PKCS5 AS

FUNCTION SAMPLE_Encrypt(inStr VARCHAR2, key VARCHAR2) RETURN RAW AS
                                           <---- 復号化の処理
	BEGIN
		RETURN DBMS_CRYPTO.ENCRYPT(
		UTL_I18N.STRING_TO_RAW(inStr, 'AL32UTF8'),
		DBMS_CRYPTO.ENCRYPT_AES256 + DBMS_CRYPTO.CHAIN_CBC +
						DBMS_CRYPTO.PAD_PKCS5,
		UTL_I18N.STRING_TO_RAW(RPAD(key, 32, '*'), 'AL32UTF8'));
	END;

FUNCTION SAMPLE_Decrypt(inRaw RAW, key VARCHAR2) RETURN VARCHAR2 AS
	outRaw          RAW(32767);
                                           <---- 暗号化の処理
	BEGIN
		outRaw := DBMS_CRYPTO.DECRYPT(
		inRaw,
		DBMS_CRYPTO.ENCRYPT_AES256 + DBMS_CRYPTO.CHAIN_CBC +
						DBMS_CRYPTO.PAD_PKCS5,
		UTL_I18N.STRING_TO_RAW(RPAD(key, 32, '*'), 'AL32UTF8'));
		RETURN UTL_I18N.RAW_TO_CHAR(outRaw, 'AL32UTF8');
	END;

END SAMPLE_AES_CBC_PKCS5;
=====================================================================

詳細は「Oracle Database セキュリティ・ガイド10g リリース2(10.2)」を
参照して下さい。

前回に引き続きINSERTの処理において、DBMS_CRYPTOとTDEの比較を行います。
INSERT文は以下のようになります。

=====================================================================
insert into emp_bin (
  EMPNO,  ENAME,  JOB,  MGR,  HIREDATE,  SAL,  COMM,  DEPTNO)
values (
  9999,  'SMITH',  'CLERK',  '7902',  '80-12-17',
  SAMPLE_AES_CBC_PKCS5.SAMPLE_Encrypt('1000','xxxxx'),
  300,  20)
/
commit;
=====================================================================

注) 「xxxxx」暗号化鍵

それでは、DBMS_CRYPOとTDEをSQL_TRACEから比較してみましょう!

DBMS_CRYPTOの場合

=====================================================================

OVERALL TOTALS FOR ALL NON-RECURSIVE STATEMENTS

call      count     cpu   elapsed    disk     query   current    rows
-------  ------  ------  --------  ------  --------  --------  ------
Parse         3    0.03      0.05       1         1         0       0
Execute       4    0.52      0.51      59       686         6       1
Fetch         0    0.00      0.00       0         0         0       0
-------  ------  ------  --------  ------  --------  --------  ------
total         7    0.55      0.56      60       687         6       1


OVERALL TOTALS FOR ALL RECURSIVE STATEMENTS

call      count     cpu   elapsed    disk     query   current    rows
-------  ------  ------  --------  ------  --------  --------  ------
Parse       113    0.12      0.08       0         0         0       0
Execute     204    0.46      0.43       0         0         0       0
Fetch       360    0.09      0.09      73       777         0     504
-------  ------  ------  --------  ------  --------  --------  ------
total       677    0.67      0.61      73       777         0     504


       4  user  SQL statements in trace file.
     206  internal SQL statements in trace file.
     210  SQL statements in trace file.
=====================================================================

TDEの場合

=====================================================================
OVERALL TOTALS FOR ALL NON-RECURSIVE STATEMENTS

call      count     cpu   elapsed    disk     query   current    rows
-------  ------  ------  --------  ------  --------  --------  ------
Parse         3    0.02      0.03       0         0         0       0
Execute       4    0.01      0.03      12         5        12       1
Fetch         0    0.00      0.00       0         0         0       0
-------  ------  ------  --------  ------  --------  --------  ------
total         7    0.03      0.07      12         5        12       1


OVERALL TOTALS FOR ALL RECURSIVE STATEMENTS

call      count     cpu   elapsed    disk     query   current    rows
-------  ------  ------  --------  ------  --------  --------  ------
Parse        18    0.07      0.05       0         0         0       0
Execute      41    0.16      0.15       0         0         0       0
Fetch        71    0.02      0.02      20       144         0      57
-------  ------  ------  --------  ------  --------  --------  ------
total       130    0.25      0.23      20       144         0      57


    4  user  SQL statements in session.
   41  internal SQL statements in session.
   45  SQL statements in session.
=====================================================================

DBMS_CRYPTO関数で暗号化を実装しているからでしょうか、「internal SQL
statements in session.」の発行数が約5倍違います。その差でしょうか、
処理時間・CPU使用量とTDEの方が約1/3で処理されています。

TDEとDBMS_CRYPTOの一部の比較を表にまとめてみました。

●暗号化の実装

-------------------------------------------------------------------
| DBMS_CRYPT0 |PL/SQL(PACKAGE)で暗号・復号化を行う                 |
-------------------------------------------------------------------
| TDE         |表へのアクセス時に暗号・復号化を行う                |
-------------------------------------------------------------------

●表

-------------------------------------------------------------------
| DBMS_CRYPT0 |暗号化デ-タはRAW型に変換されるため、格納列はRAW/   |
|             |CHAR/VARCHAR2型にする                               |
|             |データ長が変わるため、列サイズの変更が必要          |
-------------------------------------------------------------------
| TDE         |変更なし                                            |
-------------------------------------------------------------------

●SQL文

-------------------------------------------------------------------
| DBMS_CRYPT0 |暗号・復号化のPACKAGEをSQL文に組み込む              |
-------------------------------------------------------------------
| TDE         |変更なし                                            |
-------------------------------------------------------------------

SQL_TRACEの結果からもTDEの方がパフォーマンスが優れていることが分かり
ますが、最大のメリットは、サービスを停止することなく暗号化できる事と
思います。
DBMS_CRYPTOを使用する場合は表の属性又はサイズの変更によるデータ移行
が必要となりますが、TDEは表に定義を追加するだけで暗号化する事が出来
ます。(Oracleで暗号化 1回目参照)

内部犯行者によるデータ漏洩などの事件が起きています。企業情報の鍵であ
るDBのセキュリティはパフォーマンス以上に重要になってくると思います。
セキュリティの一つである暗号化はDBにはまだ新しい技術かもしれません。
しかし、こらからのDBAにとっては重要な技術となることでしょう。

暗号化という新たな武器を身につけ、Oracle生活を充実かつ快適なものにし
ていきましょう!

花粉が心配な此の頃‥‥