Schlüssel und schlüsselbezogene Daten sind einem Keystore zugeordnet. Sie können mehrere Keystores und Schlüssel erstellen, die über
eine beliebige SQL-Schnittstelle wie ODBC verwaltet werden. Bevor Sie einen Schlüssel erstellen oder importieren, müssen Sie erst
den Keystore für den Schlüssel erstellen.
Wichtig: Weil ein Schlüssel wie eine externe Tabelle gespeichert wird, wird er nicht von einer regulären
Backup/Restore-Funktion aufgezeichnet. Vergewissern Sie sich, dass der Schlüssel gesichert wurde, nachdem Sie ihn erstellt haben. Sie
müssen alle Schlüssel speichern, entweder im Keystore oder indem Sie sie mithilfe von SHOW exportieren, um die Signaturen in der
Auditdatenbank zu prüfen.
Verwenden Sie die Syntax wie im folgenden Beispiel, um einen Keystore zu erstellen:
CREATE KEYSTORE <Name> TYPE <Typ> PASSWORD <Kennwort>;
- <Name>
- Der Name des Keystores.
- <Typ>
- Der Wert ist LOCAL, der einzige zurzeit unterstützte Typ.
- <Kennwort>
- Das Kennwort, das als Schlüsselverschlüsselungsschlüssel (KEK - Key Encryption Key) für alle Verschlüsselungsschlüssel verwendet
wird, die Sie erstellen und diesem Keystore zuordnen.
Mit dem folgenden Befehl erstellen Sie einen Schlüssel in einem Keystore:
CREATE CRYPTO KEY <Keystorename>.<Schlüsselname> TYPE <Typ>
- <Keystorename>
- Der Name des Keystores.
- <Schlüsselname>
- Der Name des Schlüssels.
- <Typ>
- Der Verschlüsselungstyp. Die unterstützten Typen sind asymmetrische Schlüssel des Typs DSA_KEYPAIR oder DSA_KEYPAIR_2048 und symmetrische Schlüssel des Typs AES_256.
Netezza verwendet einen Verschlüsselungsschlüssel auf der
Basis des Keystores, um alle Schlüssel in diesem Keystore zu ver- und entschlüsseln.
Mit dem CREATE CRYPTO KEY-Befehl mit den beiden zusätzlichen Angaben VALUE und PASSWORD importieren Sie wie im folgenden Beispiel einen Schlüssel in den Keystore:
CREATE CRYPTO KEY <Keystorename>.<Schlüsselname> TYPE <Typ> VALUE <Wert> PASSWORD <Kennwort>
- <Keystorename>
- Der Name des Keystores.
- <Schlüsselname>
- Der Name des Schlüssels.
- <Typ>
- Der Verschlüsselungstyp. Die unterstützten Typen sind asymmetrische Schlüssel des Typs DSA_KEYPAIR oder DSA_KEYPAIR_2048 und symmetrische Schlüssel des Typs AES_256.
- <Wert>
- Das Schlüsselpaar (verschlüsseltes Formular), das Sie in den Keystore importieren wollen.
Der importierte Schlüssel hat ein erforderliches Format, das drei durch Dollarzeichen ($) getrennte Abschnitte einschließt:
- Der erste Abschnitt des Schlüssels ist der Saltwert, mit dem der auf dem Kennwort basierte Schlüssel erstellt wird. Er besteht aus
16 Base64-codierten Byte, was eine Zeichenfolge von 23 mit Leerzeichen aufgefüllten Byte ergibt. Netezza
verwendet PBKDF2-SHA256, um den Kennwortschlüssel aus der Kennwortzeichenfolge und dem Saltwert abzuleiten.
- Der zweite und der dritte Abschnitt sind der verschlüsselte Schlüssel (32 Byte) und der Initialisierungsvektor (16 Byte). Die
insgesamt 48 Base64-codierten Byte ergeben eine Zeichenfolge von 64 Byte. Der Schlüssel wird im CBC-Modus (Cipher Block Chaining -
Verkettung von Verschlüsselungsblöcken) verschlüsselt. Netezza
verwendet die Botan-Bibliothek für die Base64-Codierung und die Ver- und Entschlüsselungsfunktionen.
- <Kennwort>
- Wird beim Importieren eines Schlüssels verwendet, um den <Wert> des Schlüssels zu entschlüsseln.
Es folgt ein Beispielbefehl zum Importieren eines Verschlüsselungsschlüssels:
create crypto key mykeyst.mykey1 type aes_256 value
'c2vaXGjnR4b2Sj8hdRqaMQ==$q6fdHB4wfXNm3ySRpugjhzSUuTloPWa7MwhdBUKWUISK
fPJBcfSul/krWk3hG1+7' password 'mysecureword';
Wie in der folgenden Tabelle gezeigt, wurden SQL-Spracherweiterungen für die Schlüssel- und Keystoreoperationen hinzugefügt. Sie
müssen über die MANAGE SECURITY-Berechtigungen verfügen, um diese Befehle zu verwenden.
Tabelle 1. SQL-Spracherweiterungen| Befehl |
Bedeutung |
|---|
| CREATE KEYSTORE |
Erstellt einen Keystore |
| SHOW KEYSTORE |
Zeigt die Keystorekonfiguration als Zusammenfassung oder im detaillierten Format (VERBOSE)
an |
| ALTER KEYSTORE |
Ändert die Keystoreparameter |
| DROP KEYSTORE |
Löscht einen Keystore |
| CREATE CRYPTO KEY |
Erstellt einen Schlüsseleintrag |
| SHOW CRYPTO KEY |
Zeigt Schlüsseleintragsdetails an |
| DROP CRYPTO KEY |
Löscht einen Schlüsseleintrag |
IBM PureData System for Analytics, Version 7.1