How To
Summary
Db2 は 10.5 フィックスパック 5 以降、ネイティブ暗号化データベースをサポートしています。ネイティブ暗号化は表スペース・コンテナー、トランザクション・ログ、LOAD コピー、バックアップ・イメージなど、データベースが書き出すデータをアプリケーションから透過的に暗号化します。
この文書は GSKit によるローカル鍵ストアを使用して、ネイティブ暗号化データベースを作成する手順を案内します。
Environment
Db2 10.5 フィックスパック 5 以降。
Db2 10.5 で暗号化を利用するには IBM DB2 Encryption Offering ライセンスを購入する必要があります。
Steps
ネイティブ暗号化では、データベースはデータ暗号鍵 (DEK) で暗号化されます。DEK は暗号化されてデータベースに保管され、DEK を復号化するためのマスター鍵 (MK) を鍵ストアに保管します。
以下の手順はデータベース・サーバーにインスタンス・オーナー (Linux/UNIX) または管理者 (Windows) でログインして実行します。例として鍵ストア・ファイル名を $HOME/keystore.p12、データベース名を ENCDB としていますが任意の名前に変更可能です。
- 鍵ストアの作成
鍵ストア・パスワード (-pw) は任意のパスワードを指定します。gsk8capicmd_64 -keydb -create -db $HOME/keystore.p12 -pw Str0ngPassw0rd -strong -type pkcs12 -stash
- データベース・マネージャー構成の変更
keystore_location には 1 で作成した鍵ストアをフルパスで指定します。db2 update dbm cfg using keystore_type pkcs12 keystore_location $HOME/keystore.p12
- 暗号化データベースの作成
デフォルトの暗号化方式は CIPHER AES MODE CBC KEY LENGTH 256 です。CREATE DB は MK を自動的に作成し、2 で指定した鍵ストアに保管します。db2 create db encdb encrypt
- 暗号化状態の確認
暗号化方式、現在の MK ラベル名、鍵ストアの場所などが表示されます。db2pd -db encdb -encrypt Database Member 0 -- Database ENCDB -- Active -- Up 0 days 00:00:09 -- Date 2022-03-25-20.27.40.808056 Encryption Info: Object Name: ENCDB Object Type: DATABASE Encyrption Key Info: Encryption Algorithm: AES Encryption Algorithm Mode: CBC Encryption Key Length: 256 Master Key Label: DB2_SYSGEN_db2v115_ENCDB_2022-03-23-19.53.02_7BFE88AC Master Key Rotation Timestamp: 2022-03-23-19.53.03.000000 Master Key Rotation Appl ID: *LOCAL.db2inst1.220324025302 Master Key Rotation Auth ID: DB2INST1 Previous Master Key Label: DB2_SYSGEN_db2inst1_ENCDB_2022-03-23-19.53.02_7BFE88AC KeyStore Info: KeyStore Type: PKCS12 KeyStore Location: /home/db2inst1/keystore.p12 KeyStore Host Name: db2host.example.com KeyStore IP Address: xx.xx.xx.xx KeyStore IP Address Type: IPV4
運用上の考慮点
- Db2 に付属の GSkit を使用する場合、gsk8capicmd_64 コマンドの実行前に以下の設定が必要です。
AIX
export LIBPATH=$HOME/sqllib/lib64/gskit:$LIBPATH export PATH=$HOME/sqllib/gskit/bin:$PATH
Linuxexport LD_LIBRARY_PATH=$HOME/sqllib/lib64/gskit:$LIBPATH export PATH=$HOME/sqllib/gskit/bin:$PATH
Windowsset LIB="C:¥Program Files¥ibm¥gsk8¥lib";%LIB% set PATH="C:¥Program Files¥ibm¥gsk8¥bin";%PATH%
- 鍵ストアに保管された MK の一覧は gsk8capicmd コマンドで確認できます。
gsk8capicmd_64 -cert -list -db $HOME/keystore.p12 -stashed Certificates found * default, - personal, ! trusted, # secret key # DB2_SYSGEN_db2inst1_ENCDB_2022-03-23-19.53.02_7BFE88AC
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB10","label":"Data and AI"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SSEPGG","label":"Db2 for Linux, UNIX and Windows"},"ARM Category":[{"code":"a8m500000008PmnAAE","label":"Security and Plug-Ins-\u003EEncryption"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"10.5.0;11.1.0;11.5.0"}]
Was this topic helpful?
Document Information
Modified date:
21 August 2023
UID
ibm16986231