1.1.3 Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能
Oracle Key Vaultリリース21.4以降、対称暗号化キーの保護を強化するために、これらのキーがOracle Key Vaultから離れることを制限できるようになりました。
この制限は、対称キーのキー・マテリアルに適用されますが、そのメタデータには適用されません。たとえば、透過的データベース暗号化(TDE)マスター暗号化キーはOracle Key Vaultに格納されます。エンドポイントでキーを復号化する必要がある場合、PKCS#11ライブラリは、Oracle Key VaultからTDEマスター暗号化キーをフェッチして復号化を実行します。対称キーがOracle Key Vaultから離れないことがサイトで必要とされる場合は、操作中にこれらのキーがOracle Key Vault内にとどまるように構成できます。この場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。TDEマスター・キーがOracle Key Vaultから離れることを制限されている場合、つまり、それをOracle Key Vaultから抽出できない場合、Oracle Key VaultのPKCS#11ライブラリは、Oracle Key Vault内で暗号化および復号化操作を実行します。
Oracle Key Vaultから対称暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。
抽出可能属性を管理するためのC SDKの新しいAPI:
okvAttrAddExtractableokvAttrAddNeverExtractableokvAttrGetExtractableokvAttrGetNeverExtractable
抽出可能属性を管理するためのJava SDKの新しいAPI:
okvAttrAddExtractableokvAttrAddNeverExtractableokvAttrGetExtractableokvAttrGetNeverExtractable