Chiffrement des données en transit

Db2® utilise le protocole TLS (Transport Layer Security) pour transmettre des données de manière sécurisée entre les serveurs et les clients. La technologie TLS utilise à la fois la cryptographie asymétrique (par exemple, le chiffrement par clé publique) et la cryptographie symétrique pour que cela fonctionne.

Vous pouvez utiliser TLS pour protéger les données en transit sur tous les réseaux qui utilisent TCP/IP. En d'autres termes, une connexion TLS est une connexion TCP/IP sécurisée.

Chiffrement par clé publique pour l'authentification du serveur

TLS utilise des algorithmes de clé publique pour échanger des informations de clé de chiffrement et des informations de certificat numérique. Le chiffrement par clé publique permet de s'assurer qu'un client peut faire confiance au certificat utilisé par un serveur.

La cryptographie à clé publique utilise deux clés de chiffrement différentes lors d'une session TLS:
  • Clé publique permettant de chiffrer les données.
  • Une clé privée associée pour la déchiffrer.
Avec la cryptographie à clé publique, la clé publique n'est pas secrète, mais les messages qu'elle chiffre ne peuvent être déchiffrés qu'à l'aide de sa clé privée associée. La clé privée doit être stockée de manière sécurisée dans un fichier appelé magasin de clés.

Les algorithmes de clé publique seuls ne garantissent pas la communication sécurisée, vous devez également vérifier l'identité de la personne qui communique avec vous. Pour effectuer cette authentification, TLS utilise des certificats numériques.

Distribution et utilisation de certificats numériques

Pour faciliter le chiffrement des données dans un environnement Db2 , les tâches suivantes doivent être effectuées pour chaque serveur Db2 de votre organisation:
  1. Un membre de votre organisation utilise GSKit pour créer une paire de clés publique et privée.
  2. La clé publique est envoyée à une autorité de certification (CA) où un certificat est créé et signé.
  3. Le certificat du serveur (qui inclut la clé publique du serveur) est distribué à tous les clients (et serveurs) Db2 de votre organisation pour le stockage dans leurs magasins de clés locaux.

Une fois que les certificats de chaque serveur ont été distribués dans votre réseau, tous les composants nécessaires pour que TLS fonctionne sont en place.

Avant que les données ne soient chiffrées pour la transmission entre les noeuds Db2 de votre réseau, un établissement de liaison TLS se produit. Cela permet à un client de vérifier la validité du certificat d'un serveur et, si le certificat est digne de confiance, de créer une clé de session à l'aide de la clé publique du serveur. La clé de session est utilisée pour chiffrer les données échangées entre le client et le serveur pendant la durée de la connexion.