Discussion :

[jollt]

Bonjour,

existe-t-il sur la 10G un moyen "simple" de crypter les données d'une ou plusieurs tables (voir de toute la base)?

Par "simple" j'entend sans modification des requêtes sql (écrites dans des fichiers asp) ni du code pl-sql. Peut-être en codant quelque chose dans des triggers?

Merci d'avance

[Pomalaix]

Bonjour

Pouvez-vous préciser l'objectif fonctionnel : contre quoi voulez-vous vous protéger, dans quelle situation précise ?
On pourra ensuite vous orienter vers une solution technique.

[jollt]

c'est la demande d'un de nos client qui veut que ses données ne soient pas lisible en base en cas d'intrusion. L'application doit bien sur restituer en clair ces données.

Les données de ce client sont stockées dans un schéma de base différent de nos autres clients, il faut donc que je trouve une solution de cryptage pouvant s'appliquer uniquement sur ce schéma, que cela soit une solution globale ou une solution à implémenter table par table.

Par contre, les fichiers .asp accédant à la base sont commun à tous nos clients, il ne faut donc pas que je touche aux requêtes (de toute façon, il y aurait trop de travail à refaire toutes les requêtes)

merci d'avance

[laurentschneider]

alors pour crypter les données sur le disque, pour te protéger d'un vol d'un disque, il te suffit d'utiliser transparent data encryption. Au niveau d'une colonne, d'une table ou d'un tablespace. Donc si on te vole le disque et que tu n'as pas commis l'impair d'y avoir ton wallet sso avec tes datafiles, alors les datafiles sont inutilisables. Par contre un utilisateur qui aurait accès aux tables verrait bien sûr tout.

sinon tu peux employer DBMS_CRYPTO et une soluce à la sauce Arup

http://www.oracle.com/technetwork/is...ty-097078.html

[jollt]

transparent data encryption n'est-il pas disponible uniquement depuis la version 11 d'oracle?

[orafrance]

Non

[Pomalaix]

transparent data encryption n'est-il pas disponible uniquement depuis la version 11 d'oracle?

Le cryptage de colonne est apparu en V10, mais le cryptage de tablespace complet est effectivement une nouveauté de la V11.

[Pomalaix]

c'est la demande d'un de nos client qui veut que ses données ne soient pas lisible en base en cas d'intrusion. L'application doit bien sur restituer en clair ces données.

Pour cet objectif, TDE est inadapté (que ce soit au niveau colonne ou tablespace complet). Le principe de TDE, c'est que les données confidentielles sont stockées sur disque sous forme cryptée, mais décryptées à la volée en SGA. Dans ce système, toute personne réussissant à se connecter à l'instance, avec un compte ayant le droit de SELECT sur la table, verra les données en clair.
Ce n'est pas un système dans lequel tel utilisateur verra les données cryptées, alors que tel autre les verrait en clair, selon le compte de connexion ou l'outil de connexion. Comme Laurent l'a mentionné à demi-mot, TDE ne protège les données que dans le cas d'un vol de fichier. Il est impuissant contre les accès illégitimes à la base.

[laurentschneider]

bon, du moment qu'on paye pour advanced security, on peut aussi encrypter la connection client / serveur avec SSL et vérifier le certificat du client. C'est assez efficace et simple à mettre en place. Bon. C'est pas gratos...