Db2 ネイティブ暗号化の概要
Db2® ネイティブ暗号化は、データ暗号化に 2 層のアプローチを使用します。 データがデータ暗号鍵 (DEK) を使用して暗号化され、その DEK がマスター鍵 (MK) を使用して暗号化されます。 暗号化された DEK はデータとともに保管され、MK は Db2の外部の鍵ストアに保管されます。
Db2 ネイティブ暗号化により、暗号化されたデータベース、トランザクション・ログ、またはバックアップ・ファイルの外部で DEK が公開されることがなくなります。 平文または暗号化された形式の DEK にアクセスするためのインターフェースは提供されていません。 MK は暗号化されたデータとは別の場所に保管されるため、暗号化された DEK が、その暗号化に使用された MK と同時に公開される可能性はほとんどありません。 DEK が公開されるリスクは極めて低いため、DEK を循環させる必要はほとんどないと言えます。 DEK を保護するために使用される MK の循環は、データの復号および再暗号化を必要とすることなく効率的に実行できます。
データ暗号鍵 (DEK)
Db2 は、データがディスクに書き込まれる前に、データ暗号鍵 (DEK) を使用してデータを暗号化します。 DEK は、データベースまたはバックアップ・イメージ内に保管され、マスター鍵 (MK) によって暗号化されます。 DEK 自体は、暗号化されたデータベースまたは暗号化されたデータベース・バックアップの作成時などに、必要に応じて Db2 によって生成されます。 暗号化データベースごと、および暗号化バックアップごとに固有の DEK が存在します。
マスター鍵 (MK)
- データベースの作成
- マスター鍵の循環
- 新規データベースへのリストア
- バックアップ・サイトで鍵ストア全体を使用可能にすることなく、オフサイト・リカバリー用に MK ラベルとそれに対応する鍵をトラッキングする
- 同期化された鍵を必要とする HADR のペアを使用する
- 暗号化されていないデータベースのバックアップを暗号化する
鍵ストア
マスター鍵は鍵ストアに保管されます。 鍵ストアは、 Db2 (ローカル) によって直接アクセスされるファイル、または Db2 がネットワークを介して通信するサード・パーティーの鍵ストア (集中型) にすることができます。
Db2 によってサポートされる鍵ストア
- 暗号化オブジェクトを保管するための Public Key Cryptography Standards (PKCS) #12 アーカイブ・ファイル・フォーマットに準拠するローカル鍵ストア・ファイル注: PKCS は、公開鍵暗号方式の OASIS 標準です。 数字の 11 と 12 は、規格の特定の部分を指しています。
- 以下のいずれかの方法を使用してアクセスされるセントラル鍵ストア。
- Key Management Interoperability Protocol (KMIP) バージョン 1.1 以降をサポートする鍵マネージャー製品。 鍵マネージャーは、鍵ストアを作成、更新、および保護するために使用できるソフトウェアです。注: KMIP は、鍵管理に関連するネットワーク・プロトコルの OASIS 標準です。
- PKCS #11 API を使用する、以下のサポート対象ハードウェア・セキュリティー・モジュール (HSM) の 1 つ。
- Gemalto Safenet HSM (旧称: Luna) バージョン 6.1 (ファームウェア・バージョン 6.23.0) 以上
- nShield (旧 nCipher,、旧Thales)、セキュリティワールドソフトウェアバージョン 11.50 以上
- Key Management Interoperability Protocol (KMIP) バージョン 1.1 以降をサポートする鍵マネージャー製品。 鍵マネージャーは、鍵ストアを作成、更新、および保護するために使用できるソフトウェアです。
MK および鍵ストア
MK は、鍵ストア内に直接作成することも、要求に応じて Db2によって生成し、鍵ストア内に保管することもできます。 1 つ以上の MK が存在でき、各 MK は異なる Db2 データベースまたはバックアップ・イメージによって参照できます。