暗号化
Oracle DatabaseでサポートされるようになったTransport Layer Security (TLS) 1.3
Transport Layer Security (TLS)バージョン1.3は、Database 23aiでサポートされています。TLS 1.3は、Oracleデータベースとのネットワーク接続を保護する最も安全性の高い最新のTLSプロトコルです。
TLS 1.3では初期セッション設定が以前のTLSバージョンより効率的に処理されるため、TLS 1.3に移行するユーザーは、特にデータベースへの接続と再接続が頻繁に行われるアプリケーションではTLSパフォーマンスの向上を確認する必要があります。TLS 1.3では、転送中のデータの機密性を向上させる、より安全で新しい暗号スイートも実装されています。
ドキュメントの表示に関する項
リスナー証明書とサーバー証明書の両方との厳密なDN一致
SSL_SERVER_DN_MATCH
パラメータの動作が変更されました。以前は、Oracle Databaseはデータベース・サーバー証明書でのみDNチェックを実行しており、接続文字列のHOSTNAME
とSERVICE_NAME
の両方の設定を部分DN一致に使用できました。
Oracle Database 23aiでは、Oracle Databaseはリスナー証明書とサーバー証明書の両方をチェックします。また、接続文字列のSERVICE_NAME
設定は、部分DN一致時のチェックには使用されません。HOSTNAME
設定は引き続き、リスナーとサーバーの両方の証明書で、証明書DNおよびサブジェクト代替名(SAN)との部分DN一致に使用できます。
TRUE
に設定すると、SSL_ALLOW_WEAK_DN_MATCH
パラメータはSSL_SERVER_DN_MATCH
をリリース23aiより前の動作に戻し、DN一致ではデータベース・サーバーの証明書のみをチェックし(ただし、リスナーはチェックしません)、サービス名を部分DN一致に使用できるようにします。
リスナーとサーバーの両方の証明書によるDN一致により、セキュリティが向上し、クライアントが正しいデータベース・サーバーに接続していることをが保証されます。セキュリティの向上のため、サービス名の設定もSSL_SERVER_DN_MATCH
から削除されますが、部分DN一致は引き続き、HOSTNAME
接続文字列パラメータと証明書DNおよびサブジェクト代替名(SAN)との一致で実行できます。
SSL_ALLOW_WEAK_DN_MATCH
は、このリリースの新機能ですが、リリース23aiより前のSSL_SERVER_DN_MATCH
の動作を有効にする一時的なソリューションとみなされるため、非推奨とされます。
ドキュメントの表示に関する項
簡略化されたTransport Layer Security構成
データベース・クライアントとサーバー間のTransport Layer Security (TLS)構成は、合理化されたパラメータ、パフォーマンスの向上およびウォレットを見つけるための追加パラメータによって簡素化されています。古いTLSプロトコルも削除されました。
これらの変更により、セキュリティが向上し、TLSの実装が容易になります。
ドキュメントの表示に関する項
クライアント・ウォレットを使用しないTransport Layer Security接続を構成する機能
ローカル・システムで既知のCAルート証明書が使用可能な場合に、その証明書を保持するためのウォレットを提供するのに、Oracle Databaseクライアントが不要になりました。Oracle Databaseウォレットの検索順序によって、ローカル・システム内のこれらの証明書の場所(Windows (Microsoft証明書ストア)またはLinux)が決まります。
Transport Layer Security (TLS)には、一方向認証または双方向認証のいずれかが必要です。HTTPS接続で一般的に使用される一方向TLS認証では、サーバーのCA証明書がローカル・システムですでに使用可能であるかぎり、クライアント・ウォレットをインストールして構成する必要がなくなりました。サーバーのCA証明書がローカル・システムにインストールされていない場合でも、クライアント・ウォレットは引き続き必要です。このリリースから、ルート証明書がすでにローカル・システムで使用可能である場合は、その既知の証明書を保持するウォレットをインストールして構成する必要はありません。
この機能により、Oracle Databaseクライアントのインストールと、Oracle Databaseクライアント/サーバー通信を暗号化するTLSプロトコルの使用が大幅に簡略化されます。
ドキュメントの表示に関する項
非推奨の暗号スイートの使用を防止する新しいsqlnet.oraパラメータ
SSL_ENABLE_WEAK_CIPHERS sqlnet.ora
パラメータをFALSE
に設定することで、非推奨の暗号スイートの使用をブロックできます。
安全性の低い古い暗号スイートを使用不可にすると、データベース間で移動中のデータの保護が向上します。
ドキュメントの表示に関する項
TDE表領域暗号化のためのAES-XTS暗号化モードのサポート
透過的データベース暗号化(TDE)表領域暗号化では、CREATE TABLESPACE
文でAdvanced Encryption Standard (AES) XTS (Ciphertext Stealingモードを使用したXEXベースのモード)がサポートされるようになりました。以前のバージョンのOracle Database TDEでは、AES-CFB暗号モードが使用されていました。
AES-XTSは、特にTDEがパラレル処理とプロセッサ・ハードウェアに組み込まれた特殊な命令を利用できるプラットフォーム上で、セキュリティの向上とパフォーマンスの向上を実現します。
ドキュメントの表示に関する項
TDE暗号化アルゴリズムおよびモードの変更
TDE列暗号化とTDE表領域暗号化の両方のデフォルトの暗号化アルゴリズムは、AES256です。TDE列暗号化の以前のデフォルトはAES192でした。TDE表領域暗号化の場合、デフォルトはAES128でした。
GOSTおよびSEEDアルゴリズムの復号化ライブラリは非推奨です。新しいキーではこれらのアルゴリズムを使用することはできません。これらの両方のライブラリの暗号化ライブラリはサポートされなくなります。
列暗号化モードは、暗号ブロック連鎖(CBC)ではなくGalois/Counter Mode (GCM)になり、表領域キーは、暗号フィードバック(CFB)ではなくTweakableブロックCiphertext Stealing (XTS)オペレーティング・モードで使用されるようになりました。
列暗号化キーのOracle Recovery Manager (RMAN)整合性チェックでは、SHA1のかわりにSHA512が使用されるようになりました。
Oracle RMANおよび列キーのキーは、キー生成用にSHA512/AESから導出されるようになりました。以前のリリースでは、SHA-1/3DESを擬似ランダム関数として使用していました。
これらの機能拡張により、Oracle Database環境は最新の最も安全なアルゴリズムおよび暗号化モードを使用できます。
ドキュメントの表示に関する項
ローカル自動ログイン・ウォレットの改善と安全性の向上
ローカル自動ログイン・ウォレットは、作成または変更されたホスト(ベア・メタルと仮想の両方)により厳密にバインドされるようになりました。ローカル自動ログイン・プロセスもより安全になり、追加のデプロイメント要件を必要とせず、rootアクセスを必要としません。
ローカル自動ログイン・ウォレットはより安全になり、ベア・メタル環境と仮想環境の両方をサポートしています。
この機能拡張は、透過的データ暗号化(TDE)ローカル自動ログイン・キーストアにも適用されます。
ドキュメントの表示に関する項
DBMS_CRYPTOへの変更
DBMS_CRYPTOパッケージに対して、次の更新が行われています:
- XTSモードをAESアルゴリズムに追加し、デフォルト・モードとして設定
- SHA-3を追加
- SM2/3/4を追加
お客様は、Oracle Databaseで最新の暗号化機能を使用できます。
ドキュメントの表示に関する項
Oracle Data GuardのTDEキー更新操作を制御するための新しいパラメータ
Oracle Data Guard環境にDB_RECOVERY_AUTO_REKEY
初期化パラメータを使用できるようになりました。DB_RECOVERY_AUTO_REKEY
は、Oracle Data Guardスタンバイ・データベース・リカバリ操作が、プライマリ・データベースが表領域のキー更新操作を実行したことを示すREDOを検出したときに、対応する表領域のキー更新を自動的に実行するかどうかを制御します。
この機能は、ユーザーがオンラインのTDE変換を実行する必要がある大規模な表領域を持つスタンバイ・デプロイメントに役立ちます。
ドキュメントの表示に関する項