Início / dba / Perguntas / 48444
Accepted
Aaron Bertrand
Asked: 2013-08-21 17:24:02 +0800 CST

Os dados criptografados por ENCRYPTBYPASSPHRASE() são protegidos pela chave mestra de serviço?

  • 772

Em uma pergunta recente, O que a Chave Mestra de Serviço protege? , foi sugerido que a chave mestra do serviço protege, entre outras coisas, dados criptografados por ENCRYPTPASSPHRASE(). Isso é verdade?

sql-server encryption

1 respostas

  1. Best Answer

    Não, isso não é verdade, e há uma prova fácil. Em um servidor, crie um banco de dados e armazene alguns dados usando ENCRYPTBYPASSPHRASE():

    CREATE DATABASE blat;
GO
USE blat;
GO
CREATE TABLE dbo.mort(floob INT, splunge VARBINARY(64));
GO
INSERT dbo.mort VALUES
  (1, ENCRYPTBYPASSPHRASE(N'kerplunk', N'secret')),
  (2, ENCRYPTBYPASSPHRASE(N'kerplunk', N'hidden'));

    Agora, faça backup do banco de dados:

    BACKUP DATABASE blat TO DISK = 'C:\wherever\blat.bak' WITH INIT;

    Agora, em um servidor diferente em um domínio diferente ou onde você se sentir confortável acreditando que não há anexos ocultos para alguma chave mestra de serviço, restaure o banco de dados:

    RESTORE DATABASE blat FROM DISK = 'C:\wherever\blat.bak'
  WITH REPLACE, RECOVERY, 
  MOVE 'blat' TO 'C:\somepath\blat.mdf',
  MOVE 'blat' TO 'C:\somepath\blat.ldf';

    Por fim, recupere os dados da cópia restaurada e observe que ainda é possível descriptografá-los:

    USE blat;
GO
SELECT floob, prying_eyes = CONVERT(NVARCHAR(4000),
  DECRYPTBYPASSPHRASE(N'kerplunk', splunge))
FROM dbo.mort;

    Os resultados devem ser:

    floob   prying_eyes
-----   -----------
1       secret
2       hidden

    Portanto, isso significa que, se um usuário obtiver seus dados e souber a frase secreta (por exemplo, se você os armazenou em algum lugar no mesmo banco de dados), eles podem descriptografar todos os dados sem se preocupar com chaves ou qualquer outra coisa. Você pode inferir disso que ENCRYPTBYPASSPHRASE()não é uma maneira muito segura de armazenar senhas, a menos que você nunca armazene a frase secreta digitada por um usuário ou a menos que use outras ferramentas e métodos além disso (escopo rastejante).

    Como observação lateral, confesso que não tenho absolutamente nenhuma ideia de como ENCRYPTBYPASSPHRASE()realmente funciona internamente, além do fato de usar criptografia Triple DES (3DES). É não determinístico - portanto, pode usar algo como NEWID()ou RAND()internamente - seu palpite é tão bom quanto o meu. Eu sei que, se você executar o seguinte, obterá um valor binário diferente a cada vez e, se pegar qualquer um dos valores de saída individuais e executar DECRYPTBYPASSPHRASE()contra esse valor, ainda assim retornará ao original:

    SELECT ENCRYPTBYPASSPHRASE(N'banana', N'turkey');
GO 5

    Na verdade, você pode tentar isso em seu próprio sistema. Aqui está um dos valores binários que gerei e, se você inverter o processo, também deverá obter turkey:

    SELECT CONVERT(NVARCHAR(4000), DECRYPTBYPASSPHRASE(N'banana', 
  0x010000007854E155CEE338D5E34808BA95367D506B97C63FB5114DD4CE687FE457C1B5D5))
    • 8

relate perguntas