Gerenciando Dados Criptografados

As seções deste tópico fornecem informações sobre como criptografar dados ao implementar o aplicativo pela primeira vez, além de vários casos de uso que podem exigir a recriptografia de dados, como rotação de chaves.

A tarefa em batch F1-FLENC (Criptografia de Campo para um Objeto de Manutenção) é fornecida para tratar a criptografia/recriptografia de todos os dados de determinado Objeto de Manutenção. Revise a configuração da criptografia e identifique todos os objetos de manutenção que devem ter dados criptografados. Execute o batch uma vez para cada objeto de manutenção. As seções abaixo destacam vários casos de uso que justificam a execução desse batch para cada objeto de manutenção.

Criptografando Dados Inicialmente

Quando a configuração de criptografia/hash estiver concluída, todos os dados adicionados ou atualizados a partir desse ponto serão criptografados/hashed de acordo com a configuração. No entanto, para todos os registros existentes que têm dados que devem ser criptografados/hashed, você precisa executar a tarefa em batch F1-FLENC para cada objeto de manutenção passar e criptografar/hash os dados nas linhas existentes.

Rotação de Chaves em Massa

Se você introduzir uma nova chave de criptografia ou chave de hash, conforme descrito em Rotação de Chaves, ou tiver introduzido um novo keyring conforme descrito em Rotação de Keyring, os registros adicionados ou atualizados desse ponto em diante serão criptografados novamente/reencriptados com a chave mais recente do respectivo keyring. No entanto, para rotacionar a chave de todos os registros existentes que têm dados que devem ser criptografados/hashed com a chave anterior, você precisa executar a tarefa em batch F1-FLENC para cada objeto de manutenção passar e re-criptografar ou re-hash os dados nas linhas existentes.

Observação:
É possível optar independentemente por introduzir uma nova chave de criptografia ou uma nova chave de hash. O programa em batch verificará cada campo criptografado ou campo com hash para confirmar que eles usam a chave ativa atual e, caso contrário, os dados serão ajustados.
Observação:
Ao rotacionar uma Chave de Hash, a partir do momento em que a nova chave é ativada até o momento em que todos os registros forem atualizados com sucesso para usar a nova chave de hash, se algum usuário final tentar procurar registros por meio de um campo com hash, poderá haver resultados inconsistentes. Você deve programar a rotação de chaves de hash durante um período em que os usuários finais não sejam afetados. O ideal é ativar a nova chave e executar o controle do batch de rotação de chaves para todos os objetos de manutenção fora do horário de trabalho deles.

Migrando de Keystore para Keyring

O uso do keyring para definir suas chaves de criptografia e de hash permite a rotação de chaves. Se a implementação estiver usando um keystore para criptografia/hashing de campos e quiser usar o keyring, você poderá fazer isso conforme descrito nas etapas a seguir.

  • Defina um keyring para a Chave Simétrica e um keyring para a Chave de Hash, se aplicável.
  • Gere e ative uma chave para cada keyring.
  • Vá até Configuração da Opção do Recurso. Para cada entrada, adicione referências a keyRing/hashKeyRing para definir os keyrings recém-criados. Certifique-se de manter a configuração do mnemônico do alias. O sistema precisa dessas informações para saber como descriptografar os dados existentes se eles foram criptografados usando o keystore. O sistema não precisará do hashAlias se você estiver passando do uso de keystore para a chave de hash utilizando o keyring. O sistema simplesmente aplica a nova chave de hash.
  • Os registros adicionados ou atualizados a partir desse ponto serão recriptografados/re-hashed usando o keyring indicado e a chave ativa dele. No entanto, para rotacionar a chave de todos os registros existentes que têm dados que devem ser criptografados/hashed com o alias do keystore, você precisa executar a tarefa em batch F1-FLENC para cada objeto de manutenção passar e re-criptografar ou re-hash os dados nas linhas existentes.
  • Depois de confirmar que todos os dados estão usando o keyring para criptografia e hash, você pode atualizar a configuração da opção de recurso para remover a referência às chaves de alias antigas.

As "notas" listadas na seção Rotação de Chaves em Massa também se aplicam a esse caso de uso.