TDEマスターキーローテーション
TDEマスターキー(DBマスターキーおよび/またはDB暗号化キー)を変更するには、常に復号化と再暗号化が必要ですか?そうでない場合、SQL Serverはどのバージョンでマスターキーを変更できるようになり、復号化/再暗号化する必要がなくなりましたか?
私の経歴は、TDEを少し異なる方法で処理するOracleです。
TDEマスターキーを変更するには、常に復号化と再暗号化が必要ですか? DBマスターキーまたはDB暗号化キー、あるいはその両方。
TDEに関係する主な2つの秘密は、データベース暗号化キー(DEK)とサーバー証明書です。 DEKは実際にデータベース内のデータを暗号化および復号化するものですが、サーバー証明書は、データベース暗号化キー(DEK)を保護するために(他の保護の中でも特に)使用されます。
あなたの質問に対して、DEKをローテーションする場合、データベース内のすべてのデータを復号化および暗号化する必要があります。これは、これを行う鍵だからです。
ただし、DEKを保護するサーバー証明書をローテーションする場合、物理データベースのデータの暗号化または復号化を実行する必要はありません。
ソフトウェアのバージョンや種類は関係ありません。非対称キーペアでデータを暗号化し、別の非対称キーペアにローテーションする場合は、最初に古いキーのセットでデータを復号化して暗号化する必要があります。新しい。