Oracle Cloud Infrastructure - Dokumentation

Deterministische Verschlüsselung

Zweck

Das Maskierungsformat "Deterministische Verschlüsselung" verschlüsselt Spaltendaten mit einem kryptografischen Schlüssel und dem Advanced Encryption Standard (AES 128). Das Format der Spaltendaten nach der Verschlüsselung ähnelt dem Format der Originalwerte. Beispiel: Wenn Sie neunstellige Zahlen maskieren, haben die verschlüsselten Werte ebenfalls neun Ziffern.

Die deterministische Verschlüsselung ist ein deterministisches und umkehrbares Maskierungsformat. Sie ist hilfreich, wenn Unternehmen ihre Daten für Analysen, Berichte oder andere Geschäftsverarbeitungszwecke maskieren und an Dritte senden müssen. Nachdem die verarbeiteten Daten von der dritten Partei zurückgesendet wurden, können die Originaldaten mit demselben Seed-Wert wiederhergestellt (entschlüsselt) werden, der zur Verschlüsselung der Daten verwendet wurde.

Hinweis

Hinweis: Die deterministische Verschlüsselung wird für Oracle Database 11.2.0.4 nicht unterstützt.

Eingaben

  • Regulärer Ausdruck: Geben Sie einen regulären Ausdruck für die Maskierung einer Zeichen- oder numerischen Spalte an.

    Für Daten mit Zeichen im ASCII-Zeichensatz ist die Angabe eines regulären Ausdrucks optional. Sie müssen jedoch einen regulären Ausdruck angeben, wenn die Daten Multibyte-Zeichen enthalten. Ohne diese Angabe wird bei einem Multibyte-Zeichen ein Fehler zurückgegeben.

    Wenn bei ASCII-Zeichen kein regulärer Ausdruck angegeben wird, können Sie mit der deterministischen Verschlüsselung Spaltenwerte verschiedener Länge verschlüsseln, während ihr ursprüngliches Format beibehalten wird.

    Bei Angabe eines regulären Ausdrucks müssen die Spaltenwerte in allen Zeilen mit dem regulären Ausdruck übereinstimmen. Die deterministische Verschlüsselung unterstützt eine Untergruppe der regulären Ausdruckssprache. Sie unterstützt die Verschlüsselung von Zeichenfolgen mit fester Länge, jedoch keine *- oder +-Syntax von regulären Ausdrücken. Die verschlüsselten Werte stimmen auch mit dem regulären Ausdruck überein, wodurch sichergestellt wird, dass das ursprüngliche Format beibehalten wird. Wenn ein Originalwert nicht mit dem regulären Ausdruck übereinstimmt, wird bei der deterministischen Verschlüsselung möglicherweise keine Eins-zu-Eins-Zuordnung erzeugt. Alle nicht übereinstimmenden Werte werden einem einzelnen verschlüsselten Wert zugeordnet, sodass eine 1:N-Zuordnung erzeugt wird.

    Bei der deterministischen Verschlüsselung können Spaltenwerte mit bis zu 27 Zeichen verschlüsselt werden. Dieses Limit schließt Sonderzeichen aus. Außerdem kann das Limit bei Multibyte-Zeichen niedriger sein.

    Warnung: Wenn Sie die Verschlüsselung ohne Verwendung eines regulären Ausdrucks wählen, werden die Spaltenwerte, die über die Längenbeschränkung hinausgehen, immer noch maskiert. Möglicherweise können Sie sie jedoch nicht ordnungsgemäß entschlüsseln. Bei Angabe eines regulären Ausdrucks erfolgt die Größenschätzung anhand des regulären Ausdrucks, und bei Überschreitung der Längenbeschränkung wird ein Fehler zurückgegeben.

  • Seed-Wert: Die deterministische Verschlüsselung verwendet einen Seed-Wert, um einen kryptografischen Schlüssel zur Verschlüsselung und Entschlüsselung zu generieren. Geben Sie den Seed-Wert zum Zeitpunkt der Weiterleitung des Datenmaskierungsjobs an. Dabei kann es sich um eine beliebige Zeichenfolge handeln, die alphanumerische Zeichen enthält.

  • Entschlüsselungsoption: Wenn Ihre Maskierungs-Policy eine sensible Spalte mit dem Maskierungsformat "Deterministic Encryption" enthält, wird Ihnen beim Weiterleiten des Datenmaskierungsjobs die Entschlüsselungsoption angezeigt. Wenn Sie diese Option auswählen, können Sie die verschlüsselten Spaltenwerte entschlüsseln.

  • Für Datumstypen: Um eine Datumstypspalte zu maskieren, müssen Sie ein Start- und Enddatum angeben. Mit dem Kalenderwidget können Sie die Datumsangaben auswählen. Das Startdatum muss vor dem Enddatum liegen bzw. mit diesem identisch sein.

    Die Spaltenwerte müssen in allen Zeilen innerhalb des angegebenen Datumsbereichs liegen. Die verschlüsselten Werte liegen ebenfalls innerhalb des angegebenen Bereichs. Um die Eindeutigkeit zu gewährleisten, muss daher die Gesamtanzahl der Datumsangaben im Bereich größer oder gleich der Anzahl der eindeutigen Originalwerte in der Spalte sein. Wenn ein Originalwert nicht im angegebenen Datumsbereich liegt, wird bei der deterministischen Verschlüsselung möglicherweise keine Eins-zu-Eins-Zuordnung erzeugt. Alle nicht übereinstimmenden Werte werden einem einzelnen verschlüsselten Wert zugeordnet, sodass eine 1:N-Zuordnung erzeugt wird.

Unterstützte Datentypen

  • Zeichen

  • Numerisch

  • Datum

Wenn kein regulärer Ausdruck angegeben wird, unterscheidet sich die Ausgabe der Verschlüsselung für denselben Datenpunkt und Seed-Wert je nach ausgewähltem Datentyp. Zum Beispiel könnte 651090001 zu 047363798 führen, wenn es als Zeichen klassifiziert wird, und 241212470, wenn es als Zahl klassifiziert wird, auch wenn derselbe Seed-Wert verwendet wird. Dadurch wird sichergestellt, dass die Länge der Eingabe und Ausgabe gleich ist und die Zahl nicht mit Null beginnt.

Merkmale

  • Unterstützt Doppelbyte-Zeichen: Ja

  • Kombinierbar: Nein

  • Deterministisch: Ja

  • Umkehrbar: Ja

  • Eindeutigkeit: Ja. Im Abschnitt "Eingaben" finden Sie spezifische Bedingungen.

Beispiel

Angenommen, Sie möchten US-Sozialversicherungsnummern verschlüsseln, wie 333-93-4245. Sie können einfach die deterministische Verschlüsselung auswählen, ohne einen regulären Ausdruck anzugeben. Dabei werden automatisch die Zahlen verschlüsselt, während das Format beibehalten wird.

Wenn Sie die Zeichen in verschlüsselten Werten einschränken möchten, können Sie einen regulären Ausdruck angeben. Beispiel: Sie können den regulären Ausdruck [1-8][0-9]{2}-[0-9]{2}-[0-9]{4} verwenden, wenn die erste Ziffer in den Zahlen zwischen 1 und 8 liegt und Sie in den verschlüsselten Werten dasselbe sicherstellen möchten.

Hilfe zum Schreiben regulärer Ausdrücke finden Sie unter Reguläre Ausdrücke.