加密数据和数据库连接

描述如何在数据库中或者在网络上传输时加密数据以防止窃听攻击或者中间人攻击。

  • 客户端和Master数据库之间的连接可以用SSL加密。这可以用ssl服务器配置参数启用,该参数默认为off。 将ssl参数设置为on允许客户端与Master的通信被加密。Master数据库必须为SSL设置好。 更多有关用SSL加密客户端连接的信息请见OpenSSL配置OpenSSL配置。
  • Greenplum数据库允许在Greenplum并行文件分发服务器、gpfdist以及Segment主机之间传输的数据的SSL加密。 更多信息请见加密gpfdist连接 加密gpfdist连接。
  • pgcrypto包中的加密/解密函数可以保护数据库中静止的数据。列级的加密可以保护敏感信息,例如社会保险号码或信用卡号。更多信息请见用pgcrypto加密静止数据用pgcrypto加密静止数据。

Parent topic: 安全性配置指南

加密gpfdist连接

gpfdists协议是gpfdists协议的一个安全版本,它安全地标识文件服务器和Greenplum数据库并且加密它们之间的通信。使用gpfdists可以防止窃听攻击和中间人攻击。

gpfdists协议用下列显著的特性实现了客户端/服务器的SSL安全性:

  • 要求客户端证书。
  • 不支持多语言证书。
  • 不支持证书撤销列表(CRL)。
  • TLSv1协议被用于TLS_RSA_WITH_AES_128_CBC_SHA加密算法。这些SSL参数不能更改。
  • 支持SSL重新协商。
  • SSL的忽略主机失配参数被设置为假。
  • gpfdist文件服务器(server.key)和Greenplum数据库(client.key)不支持含有口令的私钥。
  • 发出适合于使用中的操作系统的证书是用户的责任。通常,支持将证书转换成必要的格式,例如使用https://www.sslshopper.com/ssl-converter.html上的SSL转换器。

用—ssl选项启动的gpfdist服务器只能用gpfdist协议通信。没有用--ssl选项启动的gpfdists服务器只能用gpfdists协议通信。更多gpfdists的细节请参考Greenplum数据库管理员指南

有两种方法启用gpfdists协议:

  • 用--ssl选项运行gpfdist然后在CREATE EXTERNAL TABLE语句的LOCATION子句中使用gpfdists协议。
  • 使用一个SSL选项被设置为真的YAML控制文件并且运行gpload。运行gpload会用--ssl选项启动gpfdist服务器然后使用gpfdist协议。

在使用gpfdists时,下列客户端证书必须位于每一个Segment的$PGDATA/gpfdists目录中:

  • 客户端证书文件client.crt
  • 客户端私钥文件client.key
  • 可信证书机构root.crt

Important: 不要用口令保护私钥。服务器不会为私钥提示要求口令,因此数据装载会在要求口令的情况下失败并且报出错误。

在使用带有SSL的gpload时,用户在YAML控制文件中指定服务器证书的位置。在使用带有SSL的gpfdist时,用户用—ssl选项指定服务器证书的位置。

下面的例子展示如何安全地把数据装载到一个外部表中。这个例子从所有扩展名为txt的文件使用gpfdists协议创建了一个名为ext_expenses的可读外部表。这些文件被格式化为使用竖线(|)作为列定界符并且使用空格作为空值。

  1. 在Segment主机上用--ssl选项运行gpfdist。

  2. 登入数据库并执行下面的命令:

    1. =# CREATE EXTERNAL TABLE ext_expenses 
    2.    ( name text, date date, amount float4, category text, desc1 text )
    3. LOCATION ('gpfdists://etlhost-1:8081/*.txt', 'gpfdists://etlhost-2:8082/*.txt')
    4. FORMAT 'TEXT' ( DELIMITER '|' NULL ' ') ;

用pgcrypto加密静止数据

Greenplum数据库的pgcrypto包提供加密静止在数据库中数据的函数。管理员可以加密有敏感信息的列已提供额外的保护层, 例如社会保险号码或者信用卡号。存储为加密形式的数据库数据不能被不掌握加密密钥的用户读取,并且数据也无法直接从磁盘上读出。

当用户安装Greenplum数据库时,默认情况下会安装pgcrypto。用户必须在要使用该模块的每个数据库中显式启用pgcrypto。

pgcrypto允许使用对称和非对称加密的PGP加密。对称加密使用相同的密钥加密和解密数据,并且比非对称加密更快。 在密钥交换不成为问题的环境中,对称加密是首选方法。对于非对称加密,公钥被用来加密数据而私钥被用来解密数据。 这种方法比对称加密要慢一些并且要求更强的密钥。

使用pgcrypto总是会带来性能和可维护性方面的代价。有必要只对需要的数据使用加密。还有,记住无法通过索引来搜索加密数据。

在实现数据库内加密之前,考虑下列PGP限制。

  • 不支持签名。这也意味着检查加密子密钥是否属于主密钥。
  • 不支持加密密钥作为主密钥。通常不鼓励这种实践,因为这类限制不应该成为问题。
  • 不支持多个子密钥。这可能看起来像是一个问题,因为这是常见的做法。在另一方面,用户不应将自己的常规GPG/PGP密钥用于pgcrypto,而是创建新的密钥,因为使用场景很不相同。

Greenplum数据库默认编译了zlib,这允许PGP加密函数在加密前压缩数据。在编译有OpenSSL时,将有更多算法可用。

因为pgcrypto函数在数据库服务器内部运行,数据和口令在pgcrypto和客户端应用之间以明文形式移动。为了最好的安全性,用户应该使用本地连接或者SSL连接并且用户应该信任系统管理员和数据库管理员。

pgcrypto会根据主PostgreSQL配置脚本的发现配置其自身。

当编译有zlib时,pgcrypto加密函数能够在加密前压缩数据。

pgcrypto有多种加密级别,范围从基本加密到高级内建函数。下面的表格显示所支持的加密算法。

Table 1. 表 1. pgcrypto支持的加密函数
值功能内建带有OpenSSL
MD5yesyes
SHA1yesyes
SHA224/256/384/512yesyes 1
其他摘要算法noyes 2
Blowfishyesyes
AESyesyes3
DES/3DES/CAST5noyes
Raw Encryptionyesyes
PGP Symmetric-Keyyesyes
PGP Public Keyyesyes

创建PGP密钥

要在Greenplum数据库中使用PGP非对称加密,用户必须首先创建公私钥并且安装它们。

这一节假定用户正在一台Linux机器上用GNU隐私保护(gpg)命令行工具安装Greenplum数据库。使用最新版本的GPG来创建密钥。从https://www.gnupg.org/download/为用户的操作系统下载和安装GNU隐私保护(GPG)。在GnuPG网站用户将找到流行的Linux发布的安装器以及Windows和Mac OS X安装器的链接。

  1. 作为root,执行下面的命令并且从菜单中选择选项1:

    1. # gpg --gen-key 
    2. gpg (GnuPG) 2.0.14; Copyright (C) 2009 Free Software Foundation, Inc.
    3. This is free software: you are free to change and redistribute it.
    4. There is NO WARRANTY, to the extent permitted by law.
    6. gpg: directory '/root/.gnupg' created
    7. gpg: new configuration file '/root/.gnupg/gpg.conf' created
    8. gpg: WARNING: options in '/root/.gnupg/gpg.conf' are not yet active during this run
    9. gpg: keyring '/root/.gnupg/secring.gpg' created
    10. gpg: keyring '/root/.gnupg/pubring.gpg' created
    11. Please select what kind of key you want:
    12.  (1) RSA and RSA (default)
    13.  (2) DSA and Elgamal
    14.  (3) DSA (sign only)
    15.  (4) RSA (sign only)
    16. Your selection? 1

  2. 如这个例子中所示,对提示做出响应并且遵照指示:

    1. RSA keys may be between 1024 and 4096 bits long.
    2. What keysize do you want? (2048) Press enter to accept default key size
    3. Requested keysize is 2048 bits
    4. Please specify how long the key should be valid.
    5.  0 = key does not expire
    6.  <n> = key expires in n days
    7.  <n>w = key expires in n weeks
    8.  <n>m = key expires in n months
    9.  <n>y = key expires in n years
    10.  Key is valid for? (0) 365
    11. Key expires at Wed 13 Jan 2016 10:35:39 AM PST
    12. Is this correct? (y/N) y
    14. GnuPG needs to construct a user ID to identify your key.
    16. Real name: John Doe
    17. Email address: jdoe@email.com
    18. Comment: 
    19. You selected this USER-ID:
    20.  "John Doe <jdoe@email.com>"
    22. Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
    23. You need a Passphrase to protect your secret key.
    24. (For this demo the passphrase is blank.)
    25. can't connect to '/root/.gnupg/S.gpg-agent': No such file or directory
    26. You don't want a passphrase - this is probably a *bad* idea!
    27. I will do it anyway.  You can change your passphrase at any time,
    28. using this program with the option "--edit-key".
    30. We need to generate a lot of random bytes. It is a good idea to perform
    31. some other action (type on the keyboard, move the mouse, utilize the
    32. disks) during the prime generation; this gives the random number
    33. generator a better chance to gain enough entropy.
    34. We need to generate a lot of random bytes. It is a good idea to perform
    35. some other action (type on the keyboard, move the mouse, utilize the
    36. disks) during the prime generation; this gives the random number
    37. generator a better chance to gain enough entropy.
    38. gpg: /root/.gnupg/trustdb.gpg: trustdb created
    39. gpg: key 2027CC30 marked as ultimately trusted
    40. public and secret key created and signed.
    42. gpg:  checking the trustdbgpg: 
    43.       3 marginal(s) needed, 1 complete(s) needed, PGP trust model
    44. gpg:  depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
    45. gpg:  next trustdb check due at 2016-01-13
    46. pub   2048R/2027CC30 2015-01-13 [expires: 2016-01-13]
    47.       Key fingerprint = 7EDA 6AD0 F5E0 400F 4D45   3259 077D 725E 2027 CC30
    48. uid                  John Doe <jdoe@email.com>
    49. sub   2048R/4FD2EFBB 2015-01-13 [expires: 2016-01-13]

  3. 通过输入下面的命令列出PGP密钥:

    1. gpg --list-secret-keys 
    2. /root/.gnupg/secring.gpg
    3. ------------------------
    4. sec   2048R/2027CC30 2015-01-13 [expires: 2016-01-13]
    5. uid                  John Doe <jdoe@email.com>
    6.                   ssb   2048R/4FD2EFBB 2015-01-13

    2027CC30是公钥并且将被用于加密数据库中的数据。4FD2EFBB是私(秘密)钥并且将被用来解密数据。

  4. 使用下面的命令导出密钥:

    1. # gpg -a --export 4FD2EFBB > public.key
    2. # gpg -a --export-secret-keys 2027CC30 > secret.key

更多有关PGP加密函数的信息,请见pgcrypto的文档。

使用PGP加密表中的数据

这一节显示如何使用刚生成的PGP密钥加密插入到列中的数据。

  1. 转储public.key文件的内容然后把它拷贝到剪切板:

    1. # cat public.key
    2. -----BEGIN PGP PUBLIC KEY BLOCK-----
    3. Version: GnuPG v2.0.14 (GNU/Linux)
    5. mQENBFS1Zf0BCADNw8Qvk1V1C36Kfcwd3Kpm/dijPfRyyEwB6PqKyA05jtWiXZTh
    6. 2His1ojSP6LI0cSkIqMU9LAlncecZhRIhBhuVgKlGSgd9texg2nnSL9Admqik/yX
    7. R5syVKG+qcdWuvyZg9oOOmeyjhc3n+kkbRTEMuM3flbMs8shOwzMvstCUVmuHU/V
    8. vG5rJAe8PuYDSJCJ74I6w7SOH3RiRIc7IfL6xYddV42l3ctd44bl8/i71hq2UyN2
    9. /Hbsjii2ymg7ttw3jsWAx2gP9nssDgoy8QDy/o9nNqC8EGlig96ZFnFnE6Pwbhn+
    10. ic8MD0lK5/GAlR6Hc0ZIHf8KEcavruQlikjnABEBAAG0HHRlc3Qga2V5IDx0ZXN0
    11. a2V5QGVtYWlsLmNvbT6JAT4EEwECACgFAlS1Zf0CGwMFCQHhM4AGCwkIBwMCBhUI
    12. AgkKCwQWAgMBAh4BAheAAAoJEAd9cl4gJ8wwbfwH/3VyVsPkQl1owRJNxvXGt1bY
    13. 7BfrvU52yk+PPZYoes9UpdL3CMRk8gAM9bx5Sk08q2UXSZLC6fFOpEW4uWgmGYf8
    14. JRoC3ooezTkmCBW8I1bU0qGetzVxopdXLuPGCE7hVWQe9HcSntiTLxGov1mJAwO7
    15. TAoccXLbyuZh9Rf5vLoQdKzcCyOHh5IqXaQOT100TeFeEpb9TIiwcntg3WCSU5P0
    16. DGoUAOanjDZ3KE8Qp7V74fhG1EZVzHb8FajR62CXSHFKqpBgiNxnTOk45NbXADn4
    17. eTUXPSnwPi46qoAp9UQogsfGyB1XDOTB2UOqhutAMECaM7VtpePv79i0Z/NfnBe5
    18. AQ0EVLVl/QEIANabFdQ+8QMCADOipM1bF/JrQt3zUoc4BTqICaxdyzAfz0tUSf/7
    19. Zro2us99GlARqLWd8EqJcl/xmfcJiZyUam6ZAzzFXCgnH5Y1sdtMTJZdLp5WeOjw
    20. gCWG/ZLu4wzxOFFzDkiPv9RDw6e5MNLtJrSp4hS5o2apKdbO4Ex83O4mJYnav/rE
    21. iDDCWU4T0lhv3hSKCpke6LcwsX+7liozp+aNmP0Ypwfi4hR3UUMP70+V1beFqW2J
    22. bVLz3lLLouHRgpCzla+PzzbEKs16jq77vG9kqZTCIzXoWaLljuitRlfJkO3vQ9hO
    23. v/8yAnkcAmowZrIBlyFg2KBzhunYmN2YvkUAEQEAAYkBJQQYAQIADwUCVLVl/QIb
    24. DAUJAeEzgAAKCRAHfXJeICfMMOHYCACFhInZA9uAM3TC44l+MrgMUJ3rW9izrO48
    25. WrdTsxR8WkSNbIxJoWnYxYuLyPb/shc9k65huw2SSDkj//0fRrI61FPHQNPSvz62
    26. WH+N2lasoUaoJjb2kQGhLOnFbJuevkyBylRz+hI/+8rJKcZOjQkmmK8Hkk8qb5x/
    27. HMUc55H0g2qQAY0BpnJHgOOQ45Q6pk3G2/7Dbek5WJ6K1wUrFy51sNlGWE8pvgEx
    28. /UUZB+dYqCwtvX0nnBu1KNCmk2AkEcFK3YoliCxomdOxhFOv9AKjjojDyC65KJci
    29. Pv2MikPS2fKOAg1R3LpMa8zDEtl4w3vckPQNrQNnYuUtfj6ZoCxv
    30. =XZ8J
    31. -----END PGP PUBLIC KEY BLOCK-----

  2. 创建一个名为userssn的表并且插入一些敏感数据,这个例子中是Bob和Alice的社会保险号码。在”dearmor(“之后粘贴public.key的内容。

    1. CREATE TABLE userssn( ssn_id SERIAL PRIMARY KEY, 
    2.     username varchar(100), ssn bytea); 
    4. INSERT INTO userssn(username, ssn)
    5. SELECT robotccs.username, pgp_pub_encrypt(robotccs.ssn, keys.pubkey) AS ssn
    6. FROM ( 
    7.         VALUES ('Alice', '123-45-6788'), ('Bob', '123-45-6799')) 
    8.             AS robotccs(username, ssn)
    9. CROSS JOIN  (SELECT  dearmor('-----BEGIN PGP PUBLIC KEY BLOCK-----
    10. Version: GnuPG v2.0.14 (GNU/Linux)
    12. mQENBFS1Zf0BCADNw8Qvk1V1C36Kfcwd3Kpm/dijPfRyyEwB6PqKyA05jtWiXZTh
    13. 2His1ojSP6LI0cSkIqMU9LAlncecZhRIhBhuVgKlGSgd9texg2nnSL9Admqik/yX
    14. R5syVKG+qcdWuvyZg9oOOmeyjhc3n+kkbRTEMuM3flbMs8shOwzMvstCUVmuHU/V
    15. vG5rJAe8PuYDSJCJ74I6w7SOH3RiRIc7IfL6xYddV42l3ctd44bl8/i71hq2UyN2
    16. /Hbsjii2ymg7ttw3jsWAx2gP9nssDgoy8QDy/o9nNqC8EGlig96ZFnFnE6Pwbhn+
    17. ic8MD0lK5/GAlR6Hc0ZIHf8KEcavruQlikjnABEBAAG0HHRlc3Qga2V5IDx0ZXN0
    18. a2V5QGVtYWlsLmNvbT6JAT4EEwECACgFAlS1Zf0CGwMFCQHhM4AGCwkIBwMCBhUI
    19. AgkKCwQWAgMBAh4BAheAAAoJEAd9cl4gJ8wwbfwH/3VyVsPkQl1owRJNxvXGt1bY
    20. 7BfrvU52yk+PPZYoes9UpdL3CMRk8gAM9bx5Sk08q2UXSZLC6fFOpEW4uWgmGYf8
    21. JRoC3ooezTkmCBW8I1bU0qGetzVxopdXLuPGCE7hVWQe9HcSntiTLxGov1mJAwO7
    22. TAoccXLbyuZh9Rf5vLoQdKzcCyOHh5IqXaQOT100TeFeEpb9TIiwcntg3WCSU5P0
    23. DGoUAOanjDZ3KE8Qp7V74fhG1EZVzHb8FajR62CXSHFKqpBgiNxnTOk45NbXADn4
    24. eTUXPSnwPi46qoAp9UQogsfGyB1XDOTB2UOqhutAMECaM7VtpePv79i0Z/NfnBe5
    25. AQ0EVLVl/QEIANabFdQ+8QMCADOipM1bF/JrQt3zUoc4BTqICaxdyzAfz0tUSf/7
    26. Zro2us99GlARqLWd8EqJcl/xmfcJiZyUam6ZAzzFXCgnH5Y1sdtMTJZdLp5WeOjw
    27. gCWG/ZLu4wzxOFFzDkiPv9RDw6e5MNLtJrSp4hS5o2apKdbO4Ex83O4mJYnav/rE
    28. iDDCWU4T0lhv3hSKCpke6LcwsX+7liozp+aNmP0Ypwfi4hR3UUMP70+V1beFqW2J
    29. bVLz3lLLouHRgpCzla+PzzbEKs16jq77vG9kqZTCIzXoWaLljuitRlfJkO3vQ9hO
    30. v/8yAnkcAmowZrIBlyFg2KBzhunYmN2YvkUAEQEAAYkBJQQYAQIADwUCVLVl/QIb
    31. DAUJAeEzgAAKCRAHfXJeICfMMOHYCACFhInZA9uAM3TC44l+MrgMUJ3rW9izrO48
    32. WrdTsxR8WkSNbIxJoWnYxYuLyPb/shc9k65huw2SSDkj//0fRrI61FPHQNPSvz62
    33. WH+N2lasoUaoJjb2kQGhLOnFbJuevkyBylRz+hI/+8rJKcZOjQkmmK8Hkk8qb5x/
    34. HMUc55H0g2qQAY0BpnJHgOOQ45Q6pk3G2/7Dbek5WJ6K1wUrFy51sNlGWE8pvgEx
    35. /UUZB+dYqCwtvX0nnBu1KNCmk2AkEcFK3YoliCxomdOxhFOv9AKjjojDyC65KJci
    36. Pv2MikPS2fKOAg1R3LpMa8zDEtl4w3vckPQNrQNnYuUtfj6ZoCxv
    37. =XZ8J
    38. -----END PGP PUBLIC KEY BLOCK-----' AS pubkey) AS keys;

  3. 验证ssn列被加密。

    1. test_db=# select * from userssn;
    2. ssn_id   | 1
    3. username | Alice
    4. ssn      | \301\300L\003\235M%_O\322\357\273\001\010\000\272\227\010\341\216\360\217C\020\261)_\367
    5. [\227\034\313:C\354d<\337\006Q\351('\2330\031lX\263Qf\341\262\200\3015\235\036AK\242fL+\315g\322
    6. 7u\270*\304\361\355\220\021\330"\200%\264\274}R\213\377\363\235\366\030\023)\364!\331\303\237t\277=
    7. f \015\004\242\231\263\225%\032\271a\001\035\277\021\375X\232\304\305/\340\334\0131\325\344[~\362\0
    8. 37-\251\336\303\340\377_\011\275\301/MY\334\343\245\244\372y\257S\374\230\346\277\373W\346\230\276\
    9. 017fi\226Q\307\012\326\3646\000\326\005:E\364W\252=zz\010(:\343Y\237\257iqU\0326\350=v0\362\327\350\
    10. 315G^\027:K_9\254\362\354\215<\001\304\357\331\355\323,\302\213Fe\265\315\232\367\254\245%(\\\373
    11. 4\254\230\331\356\006B\257\333\326H\022\013\353\216F?\023\220\370\035vH5/\227\344b\322\227\026\362=\
    12. 42\033\322<\001}\243\224;)\030zqX\214\340\221\035\275U\345\327\214\032\351\223c\2442\345\304K\016\
    13. 011\214\307\227\237\270\026'R\205\205a~1\263\236[\037C\260\031\205\374\245\317\033k|\366\253\037
    14. ---------+--------------------------------------------------------------------------------------------
    15. ------------------------------------------------------------------------------------------------------
    16. ------------------------------------------------------------------------------------------------------
    17. ------------------------------------------------------------------------------------------------------
    18. ------------------------------------------------------------------------------------------------------
    19. ------------------------------------------------------------------------------------------------------
    20. ------------------------------------------------------------------------------------------------------
    21. ------------------------------------------------------------------------------------------------------
    22. ------------------------------------------------------------------------------------------------------
    23. ------------------------------------------------------------------------------
    24. ssn_id   | 2
    25. username | Bob
    26. ssn      | \301\300L\003\235M%_O\322\357\273\001\007\377t>\345\343,\200\256\272\300\012\033M4\265\032L
    27. L[v\262k\244\2435\264\232B\357\370d9\375\011\002\327\235<\246\210b\030\012\337@\226Z\361\246\032\00
    28. 7'\012c\353]\355d7\360T\335\314\367\370;X\371\350*\231\212\260B\010#RQ0\223\253c7\0132b\355\242\233\34
    29. 1\000\370\370\366\013\022\357\005i\202~\005\\z\301o\012\230Z\014\362\244\324&\243g\351\362\325\375
    30. \213\032\226$\2751\256XR\346k\266\030\234\267\201vUh\004\250\337A\231\223u\247\366/i\022\275\276\350\2
    31. 20\316\306|\203+\010\261;\232\254tp\255\243\261\373Rq;\316w\357\006\207\374U\333\365\365\245hg\031\005
    32. \322\347ea\220\015l\212g\337\264\336b\263\004\311\210.4\340G+\221\274D\035\375\2216\241'\346a0\273wE\2
    33. 12\342y^\202\262|A7\202t\240\333p\345G\373\253\243oCO\011\360\247\211\014\024{\272\271\322<\001\267
    34. \347\240\005\213\0078\036\210\307$\317\322\311\222\035\354\006<\266\264\004\376\251q\256\220(+\030\
    35. 3270\013c\327\272\212%\363\033\252\322\337\354\276\225\232\201\212^\304\210\2269@\3230\370{

  4. 从数据库中提取public.key的ID:

    1. SELECT pgp_key_id(dearmor('-----BEGIN PGP PUBLIC KEY BLOCK-----
    2. Version: GnuPG v2.0.14 (GNU/Linux)
    4. mQENBFS1Zf0BCADNw8Qvk1V1C36Kfcwd3Kpm/dijPfRyyEwB6PqKyA05jtWiXZTh
    5. 2His1ojSP6LI0cSkIqMU9LAlncecZhRIhBhuVgKlGSgd9texg2nnSL9Admqik/yX
    6. R5syVKG+qcdWuvyZg9oOOmeyjhc3n+kkbRTEMuM3flbMs8shOwzMvstCUVmuHU/V
    7. vG5rJAe8PuYDSJCJ74I6w7SOH3RiRIc7IfL6xYddV42l3ctd44bl8/i71hq2UyN2
    8. /Hbsjii2ymg7ttw3jsWAx2gP9nssDgoy8QDy/o9nNqC8EGlig96ZFnFnE6Pwbhn+
    9. ic8MD0lK5/GAlR6Hc0ZIHf8KEcavruQlikjnABEBAAG0HHRlc3Qga2V5IDx0ZXN0
    10. a2V5QGVtYWlsLmNvbT6JAT4EEwECACgFAlS1Zf0CGwMFCQHhM4AGCwkIBwMCBhUI
    11. AgkKCwQWAgMBAh4BAheAAAoJEAd9cl4gJ8wwbfwH/3VyVsPkQl1owRJNxvXGt1bY
    12. 7BfrvU52yk+PPZYoes9UpdL3CMRk8gAM9bx5Sk08q2UXSZLC6fFOpEW4uWgmGYf8
    13. JRoC3ooezTkmCBW8I1bU0qGetzVxopdXLuPGCE7hVWQe9HcSntiTLxGov1mJAwO7
    14. TAoccXLbyuZh9Rf5vLoQdKzcCyOHh5IqXaQOT100TeFeEpb9TIiwcntg3WCSU5P0
    15. DGoUAOanjDZ3KE8Qp7V74fhG1EZVzHb8FajR62CXSHFKqpBgiNxnTOk45NbXADn4
    16. eTUXPSnwPi46qoAp9UQogsfGyB1XDOTB2UOqhutAMECaM7VtpePv79i0Z/NfnBe5
    17. AQ0EVLVl/QEIANabFdQ+8QMCADOipM1bF/JrQt3zUoc4BTqICaxdyzAfz0tUSf/7
    18. Zro2us99GlARqLWd8EqJcl/xmfcJiZyUam6ZAzzFXCgnH5Y1sdtMTJZdLp5WeOjw
    19. gCWG/ZLu4wzxOFFzDkiPv9RDw6e5MNLtJrSp4hS5o2apKdbO4Ex83O4mJYnav/rE
    20. iDDCWU4T0lhv3hSKCpke6LcwsX+7liozp+aNmP0Ypwfi4hR3UUMP70+V1beFqW2J
    21. bVLz3lLLouHRgpCzla+PzzbEKs16jq77vG9kqZTCIzXoWaLljuitRlfJkO3vQ9hO
    22. v/8yAnkcAmowZrIBlyFg2KBzhunYmN2YvkUAEQEAAYkBJQQYAQIADwUCVLVl/QIb
    23. DAUJAeEzgAAKCRAHfXJeICfMMOHYCACFhInZA9uAM3TC44l+MrgMUJ3rW9izrO48
    24. WrdTsxR8WkSNbIxJoWnYxYuLyPb/shc9k65huw2SSDkj//0fRrI61FPHQNPSvz62
    25. WH+N2lasoUaoJjb2kQGhLOnFbJuevkyBylRz+hI/+8rJKcZOjQkmmK8Hkk8qb5x/
    26. HMUc55H0g2qQAY0BpnJHgOOQ45Q6pk3G2/7Dbek5WJ6K1wUrFy51sNlGWE8pvgEx
    27. /UUZB+dYqCwtvX0nnBu1KNCmk2AkEcFK3YoliCxomdOxhFOv9AKjjojDyC65KJci
    28. Pv2MikPS2fKOAg1R3LpMa8zDEtl4w3vckPQNrQNnYuUtfj6ZoCxv
    29. =XZ8J
    30. -----END PGP PUBLIC KEY BLOCK-----'));
    32. pgp_key_id | 9D4D255F4FD2EFBB

    这显示用于加密ssn列的PGP密钥ID是9D4D255F4FD2EFBB。每当新密钥被创建时推荐执行这一步,然后把ID存起来便于跟踪。

    用户可以使用这个密钥来查看哪个密钥对被用来加密数据:

    1. SELECT username, pgp_key_id(ssn) As key_used
    2. FROM userssn;
    3. username | Bob
    4. key_used | 9D4D255F4FD2EFBB
    5. ---------+-----------------
    6. username | Alice
    7. key_used | 9D4D255F4FD2EFBB

    Note: 不同的密钥可能有相同的ID。这很少见,但是是一种正常事件。客户端应用应该尝试用每一个来解密看看哪个适合 — 就像处理ANYKEY一样。请见pgcrypto文档中的pgp_key_id()

  5. 使用私钥解密数据。

    1. SELECT username, pgp_pub_decrypt(ssn, keys.privkey) 
    2.                  AS decrypted_ssn FROM userssn
    3.                  CROSS JOIN
    4.                  (SELECT dearmor('-----BEGIN PGP PRIVATE KEY BLOCK-----
    5. Version: GnuPG v2.0.14 (GNU/Linux)
    7. lQOYBFS1Zf0BCADNw8Qvk1V1C36Kfcwd3Kpm/dijPfRyyEwB6PqKyA05jtWiXZTh
    8. 2His1ojSP6LI0cSkIqMU9LAlncecZhRIhBhuVgKlGSgd9texg2nnSL9Admqik/yX
    9. R5syVKG+qcdWuvyZg9oOOmeyjhc3n+kkbRTEMuM3flbMs8shOwzMvstCUVmuHU/V
    10. vG5rJAe8PuYDSJCJ74I6w7SOH3RiRIc7IfL6xYddV42l3ctd44bl8/i71hq2UyN2
    11. /Hbsjii2ymg7ttw3jsWAx2gP9nssDgoy8QDy/o9nNqC8EGlig96ZFnFnE6Pwbhn+
    12. ic8MD0lK5/GAlR6Hc0ZIHf8KEcavruQlikjnABEBAAEAB/wNfjjvP1brRfjjIm/j
    13. XwUNm+sI4v2Ur7qZC94VTukPGf67lvqcYZJuqXxvZrZ8bl6mvl65xEUiZYy7BNA8
    14. fe0PaM4Wy+Xr94Cz2bPbWgawnRNN3GAQy4rlBTrvqQWy+kmpbd87iTjwZidZNNmx
    15. 02iSzraq41Rt0Zx21Jh4rkpF67ftmzOH0vlrS0bWOvHUeMY7tCwmdPe9HbQeDlPr
    16. n9CllUqBn4/acTtCClWAjREZn0zXAsNixtTIPC1V+9nO9YmecMkVwNfIPkIhymAM
    17. OPFnuZ/Dz1rCRHjNHb5j6ZyUM5zDqUVnnezktxqrOENSxm0gfMGcpxHQogUMzb7c
    18. 6UyBBADSCXHPfo/VPVtMm5p1yGrNOR2jR2rUj9+poZzD2gjkt5G/xIKRlkB4uoQl
    19. emu27wr9dVEX7ms0nvDq58iutbQ4d0JIDlcHMeSRQZluErblB75Vj3HtImblPjpn
    20. 4Jx6SWRXPUJPGXGI87u0UoBH0Lwij7M2PW7l1ao+MLEA9jAjQwQA+sr9BKPL4Ya2
    21. r5nE72gsbCCLowkC0rdldf1RGtobwYDMpmYZhOaRKjkOTMG6rCXJxrf6LqiN8w/L
    22. /gNziTmch35MCq/MZzA/bN4VMPyeIlwzxVZkJLsQ7yyqX/A7ac7B7DH0KfXciEXW
    23. MSOAJhMmklW1Q1RRNw3cnYi8w3q7X40EAL/w54FVvvPqp3+sCd86SAAapM4UO2R3
    24. tIsuNVemMWdgNXwvK8AJsz7VreVU5yZ4B8hvCuQj1C7geaN/LXhiT8foRsJC5o71
    25. Bf+iHC/VNEv4k4uDb4lOgnHJYYyifB1wC+nn/EnXCZYQINMia1a4M6Vqc/RIfTH4
    26. nwkZt/89LsAiR/20HHRlc3Qga2V5IDx0ZXN0a2V5QGVtYWlsLmNvbT6JAT4EEwEC
    27. ACgFAlS1Zf0CGwMFCQHhM4AGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEAd9
    28. cl4gJ8wwbfwH/3VyVsPkQl1owRJNxvXGt1bY7BfrvU52yk+PPZYoes9UpdL3CMRk
    29. 8gAM9bx5Sk08q2UXSZLC6fFOpEW4uWgmGYf8JRoC3ooezTkmCBW8I1bU0qGetzVx
    30. opdXLuPGCE7hVWQe9HcSntiTLxGov1mJAwO7TAoccXLbyuZh9Rf5vLoQdKzcCyOH
    31. h5IqXaQOT100TeFeEpb9TIiwcntg3WCSU5P0DGoUAOanjDZ3KE8Qp7V74fhG1EZV
    32. zHb8FajR62CXSHFKqpBgiNxnTOk45NbXADn4eTUXPSnwPi46qoAp9UQogsfGyB1X
    33. DOTB2UOqhutAMECaM7VtpePv79i0Z/NfnBedA5gEVLVl/QEIANabFdQ+8QMCADOi
    34. pM1bF/JrQt3zUoc4BTqICaxdyzAfz0tUSf/7Zro2us99GlARqLWd8EqJcl/xmfcJ
    35. iZyUam6ZAzzFXCgnH5Y1sdtMTJZdLp5WeOjwgCWG/ZLu4wzxOFFzDkiPv9RDw6e5
    36. MNLtJrSp4hS5o2apKdbO4Ex83O4mJYnav/rEiDDCWU4T0lhv3hSKCpke6LcwsX+7
    37. liozp+aNmP0Ypwfi4hR3UUMP70+V1beFqW2JbVLz3lLLouHRgpCzla+PzzbEKs16
    38. jq77vG9kqZTCIzXoWaLljuitRlfJkO3vQ9hOv/8yAnkcAmowZrIBlyFg2KBzhunY
    39. mN2YvkUAEQEAAQAH/A7r4hDrnmzX3QU6FAzePlRB7niJtE2IEN8AufF05Q2PzKU/
    40. c1S72WjtqMAIAgYasDkOhfhcxanTneGuFVYggKT3eSDm1RFKpRjX22m0zKdwy67B
    41. Mu95V2Oklul6OCm8dO6+2fmkGxGqc4ZsKy+jQxtxK3HG9YxMC0dvA2v2C5N4TWi3
    42. Utc7zh//k6IbmaLd7F1d7DXt7Hn2Qsmo8I1rtgPE8grDToomTnRUodToyejEqKyI
    43. ORwsp8n8g2CSFaXSrEyU6HbFYXSxZealhQJGYLFOZdR0MzVtZQCn/7n+IHjupndC
    44. Nd2a8DVx3yQS3dAmvLzhFacZdjXi31wvj0moFOkEAOCz1E63SKNNksniQ11lRMJp
    45. gaov6Ux/zGLMstwTzNouI+Kr8/db0GlSAy1Z3UoAB4tFQXEApoX9A4AJ2KqQjqOX
    46. cZVULenfDZaxrbb9Lid7ZnTDXKVyGTWDF7ZHavHJ4981mCW17lU11zHBB9xMlx6p
    47. dhFvb0gdy0jSLaFMFr/JBAD0fz3RrhP7e6Xll2zdBqGthjC5S/IoKwwBgw6ri2yx
    48. LoxqBr2pl9PotJJ/JUMPhD/LxuTcOZtYjy8PKgm5jhnBDq3Ss0kNKAY1f5EkZG9a
    49. 6I4iAX/NekqSyF+OgBfC9aCgS5RG8hYoOCbp8na5R3bgiuS8IzmVmm5OhZ4MDEwg
    50. nQP7BzmR0p5BahpZ8r3Ada7FcK+0ZLLRdLmOYF/yUrZ53SoYCZRzU/GmtQ7LkXBh
    51. Gjqied9Bs1MHdNUolq7GaexcjZmOWHEf6w9+9M4+vxtQq1nkIWqtaphewEmd5/nf
    52. EP3sIY0EAE3mmiLmHLqBju+UJKMNwFNeyMTqgcg50ISH8J9FRIkBJQQYAQIADwUC
    53. VLVl/QIbDAUJAeEzgAAKCRAHfXJeICfMMOHYCACFhInZA9uAM3TC44l+MrgMUJ3r
    54. W9izrO48WrdTsxR8WkSNbIxJoWnYxYuLyPb/shc9k65huw2SSDkj//0fRrI61FPH
    55. QNPSvz62WH+N2lasoUaoJjb2kQGhLOnFbJuevkyBylRz+hI/+8rJKcZOjQkmmK8H
    56. kk8qb5x/HMUc55H0g2qQAY0BpnJHgOOQ45Q6pk3G2/7Dbek5WJ6K1wUrFy51sNlG
    57. WE8pvgEx/UUZB+dYqCwtvX0nnBu1KNCmk2AkEcFK3YoliCxomdOxhFOv9AKjjojD
    58. yC65KJciPv2MikPS2fKOAg1R3LpMa8zDEtl4w3vckPQNrQNnYuUtfj6ZoCxv
    59. =fa+6
    60. -----END PGP PRIVATE KEY BLOCK-----') AS privkey) AS keys;
    62. username | decrypted_ssn 
    63. ----------+---------------
    64.  Alice    | 123-45-6788
    65.  Bob      | 123-45-6799
    66. (2 rows)

    如果用户创建了一个带有口令的密钥,用户可能不得不在这里输入它。不过对于这个例子的目的,口令为空。

密钥管理

根据用户是使用对称(单私钥)还是非对称(公私钥)加密算法,有必要安全地存放主密钥或私钥。存储加密密钥有很多种选项,例如放在文件系统中、密钥保险箱、加密USB、可信平台模块(TPM)或者硬件安全性模块(HSM)。

在规划密钥管理时,考虑下列问题:

  • 密钥将被存储在哪里?
  • 密钥应该何时过期?
  • 如何保护密钥?
  • 如何访问密钥?
  • 密钥如何能被恢复和收回?

开放Web应用安全性项目(OWASP)为保护加密密钥提供了一份非常全面的指南。guide to securing encryption keys

1 SHA2算法在版本0.9.8中被加入到OpenSSL,pgcrypto将使用内建代码。

2 任何OpenSSL支持的摘要算法都被自动的取用。但对加密不能这样,加密需要被明确地支持。

3 从版本0.9.7开始OpenSSL中就包括了AES。对于较老的版本,pgcrypto将使用内建代码。