问题[encryption](dba)

假设我有一个生产服务器，并且##MS_DatabaseMasterKey##上面有一个数据库主密钥 (master_key1)。我创建了一个证书c1，默认情况下由 master_key1 加密。然后我支持c1以下声明。

BACKUP CERTIFICATE c1 TO FILE = 'c:\c1.crt'
WITH PRIVATE KEY
(
    FILE = 'c:\c1_private_key.key',
    ENCRYPTION BY PASSWORD = 'c1_private_key_password'
);

之后，我将三个c1备份相关文件复制到开发服务器。在开发服务器上，我创建了一个新的数据库主密钥。它仍然被称为##MS_DatabaseMasterKey##，但它是一个新创建的（我们称之为 master_key2）。现在我c1在开发服务器上恢复：

CREATE CERTIFICATE c1
FROM FILE = 'c:\c1.crt'
WITH PRIVATE KEY
(
    FILE = 'c:\c1_private_key.key',
    DECRYPTION BY PASSWORD = 'c1_private_key_password'
);

问题：

• 在开发服务器上恢复后c1，它是否被加密master_key2？这里好像没碰过master_key2。
• 当我在开发服务器上恢复c1时，我可以将其名称更改为喜欢c2（CREATE CERTIFICATE c2 ...）吗？如果我这样做，生产服务器上的 TDE 加密备份可以在开发服务器上恢复吗？

我有以下请求，使用 pg_trm 和 gin 索引：

SELECT
        email,
        first_name,
        last_name
         
    FROM   external_patient
    WHERE  PGP_SYM_DECRYPT(cat_name::bytea, 'SUPER_AES_KEY') ILIKE $2
    OR     PGP_SYM_DECRYPT(cat_name::bytea, 'SUPER_AES_KEY') %     $1
    ORDER  BY 
           (PGP_SYM_DECRYPT(cat_name::bytea, 'SUPER_AES_KEY') ILIKE $3) DESC
          ,(PGP_SYM_DECRYPT(cat_name::bytea, 'SUPER_AES_KEY') ILIKE $2) DESC
          ,(PGP_SYM_DECRYPT(cat_name::bytea, 'SUPER_AES_KEY') <->   $1)
          ,PGP_SYM_DECRYPT(cat_name::bytea, 'SUPER_AES_KEY')
    LIMIT  30

列 cat_name 已加密，因此必须对其进行解密才能运行请求。但是，我想确保尽可能只解密一次（因为请求是 3ms 没有加密字段，3500 ms 有加密......

是否有特定的语法来确保该列只被解密一次？谢谢您的帮助。

有任何 [SingleStore] 用户吗？

为了为 Kafka 管道启用 SSL 加密（仅），我们创建了如下管道：

CREATE PIPELINE `kafka_ssl`
AS LOAD DATA KAFKA '<kafka-host>:<kafka-port>/test'
CONFIG '{"security.protocol": "ssl"
"ssl.ca.location": "<path-to-the-ca-certificate>"}''
INTO table <t>;

来自https://docs.memsql.com/v7.0/concepts/pipelines/kafka-kerberos-ssl/ 22

请注意，我们不是在寻找客户端身份验证（双向 TLS 连接）。这需要我们手动将 CA 证书复制到 memsql 节点并提供该路径。这适用于独立的 Kafka 集群。

如果我们使用 AWS MSK，推荐的方法是什么？

以下文档指向 MSK 客户端的 SSL 加密客户端配置。他们使用客户端信任库位置作为属性，该属性不是 memsql 管道配置 json 的标识属性

https://docs.aws.amazon.com/msk/latest/developerguide/msk-encryption.html 10 https://docs.aws.amazon.com/msk/latest/developerguide/msk-authentication.html

在 SingleStore 论坛中查看其他有相同问题的人。无法创建从 Singlestore in a box 到 AWS MSK 的管道。

我们正在尝试从其他人的 MS SQL 数据库导入（逆向工程）一些数据，而没有任何供应商支持。

过去，数据以纯文本或 RTF 格式存储，因此很容易提取。但是这个数据库有一些看起来“加密”的内容。如果数据采用这种格式，则还有另一列“zipped”= 1。我被告知他们正在压缩数据以保持在 SQL Express 的 10GB 限制之下。

它看起来有点像这样：

-Ëj„@D÷
þC}€7!2‹<Pɾí¾êÍôCn·ÿ~¦6UÅ©–F

关于如何解码的任何想法？同一个表中还有其他行是纯文本或 RTF，但很多都是这种格式。

这是数据库的示例导出：

https://1drv.ms/u/s!Au6oldAhXo2M5Xt_bE9Q5iA0WdfF?e=IsuYdQ

其中包括它应该是什么样子的屏幕截图。

我在服务器上有两个实例。sql 2014（端口 1433）和 sql 2016（端口 50019） 我在未过期的服务器上有一个带有 SHA1 算法的证书。

**当 sql server 启动时，我可以清楚地看到上面的证书是为加密加载的（见 snip）。

似乎这不是自生成的证书，因为它没有这么说。**

但是，如果我在 SQL 配置管理器下检查证书，我看不到它。

此外，注册密钥下没有使用证书

那么，为什么它被加载到数据库中，但在 SQL 配置和注册编辑器下却找不到呢？是否已正确安装？

有没有办法通过扩展事件监控加密连接？我过去曾使用 sqlsni.TRACE 监控过 TLS 1.0、1.1 和 1.2 握手，但找不到与加密连接本身相同的内容。除非“encrypt=yes”没有添加到连接字符串中，否则只有握手会被加密，没有别的。

我可以使用 sys.dm_exec_connections 来捕获它，但这不是实时的，我必须非常频繁地运行它（每分钟或更短时间）才能找到我正在寻找的东西。

这是我第一次在 MariaDB 中使用加密，所以我需要确保我做对了。我需要简单地以加密方式存储一些标识符，并且想知道我是否正确地执行了它。由于我在数据检索时遇到了一些意外行为（有时只是），我怀疑有什么问题（而且我一直在检查文档等，这一切似乎都是正确的..？）。

• 我将数据存储在BLOB和NOT NULL列中，没有指定其他内容。
• 我正在使用它插入数据，而key通过openssl rand -base64 32

INSERT INTO data_table ( encr_data ) VALUES( AES_ENCRYPT( "secret_string", "key" ) );

• 我正在使用以下方法检索数据：

SELECT CAST( AES_DECRYPT( encr_data, "key" ) AS CHAR ) as encr_data FROM data_table;

这是在 MariaDB 中正确的做法吗？秘密字符串由大约 35 - 40 个字符组成。

这对我来说真的很重要，因为我正在编写的应用程序正在存储一些秘密数据以与另一个 API 一起使用。换言之，加密本身不应带来任何有关数据完整性的风险。只是想到由于任何加密错误（使加密+存储的数据无法使用）而需要重新生成所有加密数据......

所以我需要确保加密字符串中没有数据被裁剪，并且加密正确完成，因此是这个问题的原因。

我在两个数据库上启用了 TDE。
一个大约 700 GB，一夜之间完成，encryption_state=3
另一个几乎是 2 TB。那个有 encryption_state=2 和 percent_complete 100

我应该耐心等待，还是因为它卡在 100% 完成而出现问题？
我不知道它什么时候达到 100%，但自从我启用加密以来大约 17 小时。

我正在使用 PostgreSQL-11，并且我得到了一个文本字符串来解密作为测试。我已经了解了它是如何加密的，而且非常简单。当我尝试使用解密时，select pgp_sym_decrypt(text::bytea,'the key','cipher-algo=aes256')我得到错误错误的密钥或损坏的数据。我无法使用解密功能，因为我得到错误密码算法不可用。我究竟做错了什么？

是否可以加密像 TDE 这样的 2008 R2 备份？

我读到的是加密整个数据库，这样备份就会被加密。但是您可以单独使用 TDE 加密备份吗？