Demande document chiffrement

**agdid04** · 03/11/2016, 15h56

Bonjour,

Je cherche un exemple/document step by step pour le chiffrement d'une base SQl Server 2008r2 ? bref les différentes étapes pour crypter une base ?

Merci.

**SQLpro** · 03/11/2016, 16h42

Tout dépend de la façon dont vous voulez chiffrer les données, car il existe 4 possibilités et pour chacune d'elle plusieurs algorithmes, soit environ 25 combinaisons avec la version 2008 à 2014. 2016 y rajoute en sus Always Encrypted !
Enfin vous pouvez opter pour TDE.

Bref, revenez nous voir quand vous aurez définit votre besoin fonctionnel :
Qui ? Comment ? Pourquoi ???

A +

**agdid04** · 04/11/2016, 12h32

Bonjour,

La base en question est une petite base de moins de 10 Go seulement elle consulté en permanence par des commerciaux de l'extérieur via leurs phones/tablettes.

En plus de la sécurisation de server, on demande à crypter la base?

Merci.

**SQLpro** · 04/11/2016, 13h24

Pour quel risque ?
Vol des fichiers de données, ou des sauvegardes de la base ? => TDE
Interception des données sur le réseau ? => certificat SSL
Accès non désiré à des données sensibles (santé, politique, syndicats, sexuels, religieuses ... ) ? => Chiffrement de colonnes

A +

**agdid04** · 07/11/2016, 19h36

Bonjour,

J'ai créé un certificat

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
CREATE CERTIFICATE tdeCertif WITH SUBJECT = 'TDE Certificate';
BACKUP CERTIFICATE tdeCertif TO FILE = 'D:\TEST\TDECertificate.cer'
WITH PRIVATE KEY (FILE = 'D:TEST\TDECertificateKey.pvk',
ENCRYPTION BY PASSWORD = 'mypass');

Quand j'essaie:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
CREATE DATABASE ENCRYPTION KEY 
WITH ALGORITHM = AES_256
ENCRYPTION BY SERVER CERTIFICATE tdeCertif

J'ai ce messge:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Msg 15151, Level 16, State 1, Line 1
Cannot find the certificate 'tdeCertif', because it does not exist or you do not have permission.

Dans quelle vue je peux regarder pour voir si mon certif est bien ds la base ?

Merci.

**SQLpro** · 08/11/2016, 10h46

Dans quel contexte (BD) ont été lancées ces commandes ?

A +

**agdid04** · 08/11/2016, 11h20

Bonjour et Merci.

Dans la base Master:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyPass';

Puis dans la base TDETEST:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
use TDETST
go
 
CREATE CERTIFICATE tdeCertif WITH SUBJECT = 'TDE Certificate';
 
BACKUP CERTIFICATE tdeCertif TO FILE = 'E:\TEST\TDE\TDECertificate.cer'
WITH PRIVATE KEY (FILE = 'E:\TEST\TDE\TDECertificateKey.pvk',
ENCRYPTION BY PASSWORD = 'MyPass');
 
 
CREATE DATABASE ENCRYPTION KEY 
WITH ALGORITHM = AES_256
ENCRYPTION BY SERVER CERTIFICATE tdeCertif;
 
 
Msg 15151, Level 16, State 1, Line 1
Cannot find the certificate 'tdeCertif', because it does not exist or you do not have permission.

Puis pour tester l'existance de certif:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
CREATE CERTIFICATE tdeCertif WITH SUBJECT = 'TDE Certificate';

Msg 15232, Level 16, State 1, Line 1
A certificate with name 'tdeCertif' already exists or this certificate already has been added to the database.

Merci de votre aide.

@+

**SQLpro** · 08/11/2016, 12h18

Ben non !!!!

Vous devez rester dans la base master pour passer l'intégralité de vos commande !

Comment voulez magiquement qu'il trouve dans la base TDETEST un certificat que vous avez créé dans la base master ???

A +

**agdid04** · 08/11/2016, 13h22

Merci bcp.

je fais avec create :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 Use master 
go
create certificate tdecertif 
 from file = N'E:\SQL-TEST\TDE\TDECertificate.cer'
 with private key
  ( file = N'E:\SQL-TEST\TDE\TDECertificateKey.pvk'
  , decryption by password = N'MyPass'
   );

Merci.

**agdid04** · 08/11/2016, 15h17

Merci, c'est passé.

Pour ces opérations, il faut s'identifier avec un user Windows ou il faut un login SQL Server ?

Comment valider que ma base est bien chiffrée ?

Merci.

@+

**SQLpro** · 08/11/2016, 15h48

Envoyé par agdid04

Pour ces opérations, il faut s'identifier avec un user Windows ou il faut un login SQL Server ?

Aucune importance, tant qu'il dispose des privilèges nécessaires.

Comment valider que ma base est bien chiffrée ?

L'avance du chiffrement est visible dans sys.dm_database_encryption_keys, colonne state. Si 2 => en cours, Si 3 achevé.

Une fois achevé, faites une sauvegarde non compressée de la base et ouvrez cette sauvegarde avec un éditeur quelconque, à la recherche de littéraux dont vous savez qu'ils existent dans la base....

A +

**agdid04** · 09/11/2016, 10h14

Bonjour, Ok Merci bcp.

Dans cette vue, le chiffrement est en cours:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
select * from sys.dm_database_encryption_keys where database_id='24'
 
 
database_id	encryption_state	
24		2

Quand je retente:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
ALTER DATABASE TESTDE SET ENCRYPTION ON;
 
 
Msg 33107, Level 16, State 1, Line 1
Cannot enable database encryption because it is already enabled.
Msg 5069, Level 16, State 1, Line 1
ALTER DATABASE statement failed.

Est-ce que des sessions ouvertes sur la base seraient impliquées ds cet histoire ?

Merci.

**agdid04** · 09/11/2016, 11h34

J'avais une transaction en cours, maintenant j'ai encryption_state à 3.

@+

**SQLpro** · 09/11/2016, 12h08

Le chiffrement TDE prend au départ pas mal de temps car il lui faut chiffrer tous les fichiers. Ensuite c'est assez transparent car c'est à la volée.

Effectivement le fait qu'une requête soit en cours (transaction) gèle le chiffrement du journal de transaction, pour qu'un éventuel ROLLBACK puisse reprendre les données du journal.

ATTENTION : dans les premières version de TDE, le journal n'était chiffré qu'en avant. Il était donc conseillé d'effectuer une purge du JT préalablement.

A +

**agdid04** · 09/11/2016, 13h27

OK, Merci bcp.

@+

**agdid04** · 10/11/2016, 09h49

Bonjour,

Encore une question, si je garde ces fichiers sur le server:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
E:\SQL-TEST\TDE\TDECertificate.cer'
E:\SQL-TEST\TDE\TDECertificateKey.pvk'

Si comme j'ai rien fait, si quelqu'un part avec un backup et le certif, il pourra restaurer la base ailleurs ?

Est-ce qu'il faut sauvegarder régulièrement le certif ou une sauvegarde ds un coffre suffit ?

Merci.

@+