このリリースでの『Oracle Database透過的データ暗号化ガイド』の変更点
ここでは、次の内容について説明します:
Oracle Database透過的データ暗号化23aiでの変更点
Oracle Database 23ai用の『Oracle Database透過的データ暗号化ガイド』には、新しいセキュリティ機能が含まれています。
暗号化アルゴリズムおよびモードの変更
Oracle Database 23ai以降、デフォルトの暗号化アルゴリズムおよび暗号化モードが変更されました。
暗号化アルゴリズムに関する変更点:
- 暗号化アルゴリズムに関する変更点:
- TDE列暗号化とTDE表領域暗号化の両方のデフォルトの暗号化アルゴリズムは、AES256です。TDE列暗号化の以前のデフォルトは
AES192でした。TDE表領域暗号化の場合、デフォルトはAES128でした。 GOSTおよびSEEDアルゴリズムの復号化ライブラリは非推奨です。新しいキーではこれらのアルゴリズムを使用することはできません。これら両方のライブラリの暗号化ライブラリはサポートされなくなりました。GOST復号化ライブラリが、HP Itaniumプラットフォームでサポート対象外になりました。
- TDE列暗号化とTDE表領域暗号化の両方のデフォルトの暗号化アルゴリズムは、AES256です。TDE列暗号化の以前のデフォルトは
- 列暗号化モードは暗号ブロック・チェーン(CBC)ではなくGalois/Counter Mode (GCM)になり、表領域の暗号化は新しいtweakableブロックCiphertext Stealing (XTS)オペレーティング・モードまたはCipher Feedback(CFB)から選択できるようになりました。デフォルトはXTSです。
- 列暗号化キーのOracle Recovery Manager (Oracle RMAN)整合性チェックでは、
SHA1のかわりにSHA512が使用されるようになりました。 - Oracle RMANおよび列キーのキーは、キー生成用に
SHA512/AESから導出されるようになりました。以前のリリースでは、SHA-1/3DESを擬似ランダム関数として使用していました。
これらの機能拡張により、Oracle Database環境は最新の最も安全なアルゴリズムおよび暗号化モードを使用できます。
関連トピック
TDE表領域暗号化のためのAES-XTS暗号化モードのサポート
Oracle Database 23ai以降の透過的データベース暗号化(TDE)表領域暗号化では、CREATE TABLESPACEおよびALTER TABLESPACE文でAdvanced Encryption Standard (AES) XTS (Ciphertext Stealingモードを使用したXEXベースのモード)がサポートされます。
AES-XTSは、特にTDEがパラレル処理とプロセッサ・ハードウェアに組み込まれた特殊な命令を利用できるプラットフォーム上で、セキュリティの向上とパフォーマンスの向上を実現します。
関連トピック
ハイブリッド障害時リカバリ構成でのOracle Data GuardのREDO復号化
Oracle Database 23aiでは、クラウド・データベースがTDEで暗号化され、オンプレミス・データベースがそうではないハイブリッド・クラウド障害時リカバリ構成において、Oracle Data Guardを使用してREDO操作を復号化できるようになりました。
この機能を有効にするために、Oracle DatabaseにはTABLESPACE_ENCRYPTION初期化パラメータが導入され、これを使用して、オンプレミス環境およびOracle Cloud Infrastructure (OCI)環境についてプライマリ・データベースとスタンバイ・データベースの両方の表領域の自動暗号化を制御できます。たとえば、オンプレミス・データベースは暗号化せずに、OCIデータベースは暗号化することができます。
ハイブリッド障害時リカバリは、多くの場合、クラウドを迅速に導入する方法の1つとみなされます。オンプレミス・データベースがまだTDEで暗号化されていない場合でも障害時リカバリをすばやく構成できるようにすることで、ハイブリッド障害時リカバリ環境の構成に必要なステップが削減されるとともに、転送プロセス中も確実にREDOデータが暗号化されたままになります。
Oracle Database透過的データ暗号化23aiに対する更新
Oracle Database 23ai用の『Oracle Database透過的データ暗号化ガイド』には次のような更新があります。
Oracle Data GuardのTDEキー更新操作を制御するための新しいパラメータ
Oracle Data Guard環境にDB_RECOVERY_AUTO_REKEY初期化パラメータを使用できるようになりました。
DB_RECOVERY_AUTO_REKEYは、Oracle Data Guardスタンバイ・データベース・リカバリ操作が、プライマリ・データベースが表領域のキー更新操作を実行したことを示すREDOを検出したときに、対応する表領域のキー更新を自動的に実行するかどうかを制御します。
この機能は、ユーザーがオンラインのTDE変換を実行する必要がある大規模な表領域を持つスタンバイ・デプロイメントに役立ちます。