TDE (Part III) : Les clefs du chiffrages

Dans l’article TDE (Part I) nous avions vu qu’il fallait créer une clef nommée master key (MK). Que cette clef se stockait dans un portefeuille (wallet) protégé par un mot de passe, voir un badge en plus du mot de passe si il y a un HSM. Mais à quoi sert cette master key ? A chiffrer-déchiffrer ? Et si on veut changer le chiffrage il faut régénérer une clef ? Elle peut servir aussi pour chiffrer les backups ? Et si je perds le porte-clefs je fais quoi ?

 

C’est ce que nous allons voir dans cet article.

 

Lire la suite : TDE (Part III) : Les clefs du chiffrages

TDE (Part II) : Performance et Volumétrie

 Cet article fait suite à TDE (Part I). Nous allons essayer de quantifier les impacts sur les performances de TDE, et aussi sur la volumétrie.

 

La documentation de TDE qui se trouve dans Advanced Security Administrator’s Guide, ne donne pas trop de détail sur les impacts de performance. Cependant, Oracle donne une piste dans un paragraphe introductif à TDE tablespace :

In addition, TDE tablespace encryption takes advantage of bulk encryption and caching to provide enhanced performance. While the actual performance impact on applications can vary, the performance overhead is roughly estimated to be in between 5% and 8%.

TDE tablespace encryption is a good alternative to TDE column encryption if your tables contain sensitive data in multiple columns, or if you want to protect the entire table and not just individual columns.

Lire la suite : TDE (Part II) : Performance et Volumétrie

La sécurité des mots de passe

Quand on parle sécurité sous Oracle, on pense SSL, TCPS, TDE, Vault, VPD, HSM, chiffrage réseau… mais presque jamais password (mot de passe pour les plus mauvais en anglais Wink)

Eh oui, avant de commencer à s’affoler sur toutes les technos possibles, si nous commencions par la base : un mot de passe costaud, bien géré et protégé. Voilà un sujet facile à appréhender, qui parle à tout le monde et qui fait partie des bases de la sécurité, car bien souvent son importance est complètement oublié.

 

Heureusement Oracle met à disposition dans les versions  Standard One, Standard et Entreprise plusieurs protections pour les mots de passe.  Ce n’est pas la peine d’acheter la luxueuse option Oracle Advanced Security (OAS)…, merci Oracle.


Dans cet article, nous allons voir ce qu'il est possible de faire avec Oracle pour sécuriser au mieux les mots de passe. Nous allons voir :

  • Une nouveauté 11g, la nouvelle méthode de chiffrement des mots de passe et surtout comment l'activer. Nous essaierons de casser un mot de passe avant et après la mise en place de ce nouveau chiffrement
  • La politique de mot de passe contrôlé par profile.
  • Le contrôle sur la complexité du mot de passe. Comment l'activer et l'améliorer.
  • Une autre nouveauté 11g, la sensibilité à la case.
  • Le stockage des mots de passe dans un magasin de mot de passe sur les clients

 

Lire la suite : La sécurité des mots de passe

TDE (Part I)

 TDE : Transparent Data Encryption, est une fonctionnalité incluse dans l’option OAS : Oracle Advanced Security.

 

TDE permet de crypter (chiffrer en français), les données au niveau stockage. Cela signifie que sur disque la donnée est chiffrée (non lisible) : elle est chiffrée dans les datafiles, les redologs et dans le backup. Et évidement elle est lisible si nous passons par une connexion à la base de données et que nous sommes autorisés à la lire (grant)

TDE protège donc du vol physique des données : vol des fichiers (copie, édition…), vol des backups, vol des disques dur mais ne protège pas la donnée au niveau des connexions oracle.

 TDE permet de chiffrer par colonne ou bien par tablespace.

 

Nous allons voir dans cet article comment l’implémenter, quelles sont les restrictions que TDE impose et aussi les impacts sur un crash de base. Dans un second article nous compléterons par l’impact sur les performances,  la gestion des rekey (changement de clef) les  restaurations, et comment se débarrasser du cryptage..

 

Lire la suite : TDE (Part I)