Documentation Oracle Cloud Infrastructure

Cryptage déterministe

Objectif

Le format de masquage Cryptage déterministe crypte les données des colonnes à l'aide d'une clé cryptographique et de la norme Advanced Encryption Standard (AES 128). Le format des données de la colonne après cryptage est semblable à celui des valeurs d'origine. Par exemple, si vous masquez des nombres à neuf chiffres, les valeurs cryptées contiennent également neuf chiffres.

Le cryptage déterministe est un format de masquage déterministe et réversible. Il est utile lorsque les organisations ont besoin de masquer et d'envoyer leurs données à des tiers à des fins d'analyse, de génération de rapports ou pour tout autre objectif de processus métier. Lorsque les données traitées sont renvoyées par le tiers, les données d'origine peuvent être récupérées (décryptées) à l'aide de la même valeur prédéfinie utilisée pour crypter les données.

Remarque

Remarque : Le cryptage déterministe n'est pas pris en charge pour Oracle Database 11.2.0.4.

Entrées

  • Expression normale : indiquez une expression régulière pour masquer une colonne alphanumérique.

    Pour les données avec des caractères ASCII, fournir une expression régulière est facultatif. Toutefois, vous devez fournir une expression régulière si les données contiennent des caractères multi-octets. Dans le cas contraire, une erreur est renvoyée lorsqu'un caractère multi-octet est détecté.

    Dans le cas des caractères ASCII, si aucune expression régulière n'est fournie, le cryptage déterministe peut crypter les valeurs de colonne à longueur variable tout en conservant leur format d'origine.

    Si une expression régulière est fournie, les valeurs de colonne figurant dans toutes les lignes doivent correspondre à cette expression. Le cryptage déterministe prend en charge un sous-ensemble du langage d'expression régulière. Il prend en charge le cryptage des chaînes à longueur fixe et pas la syntaxe * ou + des expressions régulières. Les valeurs cryptées correspondent également à l'expression régulière, ce qui permet de s'assurer que le format d'origine est conservé. Si une valeur d'origine ne correspond pas à l'expression régulière, le cryptage déterministe peut ne pas produire de correspondance 1 à 1. Toutes les valeurs de non-confirmation sont mises en correspondance avec une seule valeur cryptée, ce qui génère une correspondance n à 1.

    Le cryptage déterministe peut crypter des valeurs de colonne comportant jusqu'à 27 caractères. Cette limite exclut les caractères spéciaux. En outre, la limite peut être inférieure pour les caractères multi-octets.

    Avertissement : si vous choisissez de crypter sans utiliser d'expression régulière, les valeurs de colonne dépassant la restriction de longueur seront toujours masquées, mais vous pourrez peut-être pas les décrypter correctement. Si une expression régulière est fournie, elle est utilisée pour estimer la taille et une erreur est renvoyée si la restriction de longueur est dépassée.

  • Valeur prédéfinie : le cryptage déterministe utilise une valeur prédéfinie afin de générer une clé cryptographique pour le cryptage et le décryptage. Indiquez la valeur prédéfinie au moment de la soumission du travail de masquage des données. Il peut s'agir de n'importe quelle chaîne contenant des caractères alphanumériques.

  • Option de décryptages : si votre stratégie de masquage comporte une colonne confidentielle utilisant le format du masquage Cryptage déterministe, l'option de décryptages s'affiche lors de la soumission du travail de masquage des données. Si vous choisissez cette option, vous pouvez décrypter les valeurs de colonne cryptées.

  • Pour les types de date : pour masquer une colonne de type date, indiquez une date de début et une date de fin. Vous pouvez utiliser le widget de calendrier pour sélectionner les dates. La date de début doit être antérieure ou identique à la date de fin.

    Les valeurs de colonne de toutes les lignes doivent être comprises dans la plage de dates indiquée. Les valeurs cryptées appartiennent également à la plage spécifiée. Par conséquent, pour garantir l'unicité, le nombre total de dates dans la plage doit être supérieur ou égal au nombre de valeurs d'origine distinctes dans la colonne. Si une valeur d'origine n'appartient pas à la plage de dates indiquée, le cryptage déterministe peut ne pas produire de correspondance 1 à 1. Toutes les valeurs de non-confirmation sont mises en correspondance avec une seule valeur cryptée, ce qui génère une correspondance n à 1.

Types de données pris en charge

  • Caractère

  • Numérique

  • Date

Si aucune expression régulière n'est fournie, pour le même point de données et la même valeur prédéfinie, la sortie du cryptage diffère en fonction du type de données sélectionné. Par exemple, 651090001 peut entraîner 047363798 lorsqu'il est classé en tant que caractère et 241212470 lorsqu'il est classé en tant que nombre même lorsque la même valeur de départ est utilisée. Ceci est fait pour s'assurer que la longueur de l'entrée et de la sortie est la même, et le nombre ne commence pas par zéro.

Caractéristiques

  • Prend en charge les caractères à deux octets : Oui

  • Combinable : non

  • Déterministe : oui

  • Réversible : oui

  • Unicité : oui. Reportez-vous à la section Entrées pour voir les conditions spécifiques.

Exemple

Supposons que vous souhaitez crypter des numéros de sécurité sociale américains, tels que 333-93-4245. Vous pouvez simplement choisir le cryptage déterministe, sans fournir d'expression régulière. Il crypte automatiquement les valeurs numériques tout en conservant le format.

Si vous souhaitez restreindre les caractères dans les valeurs cryptées, vous pouvez fournir une expression régulière. Par exemple, vous pouvez utiliser l'expression régulière [1-8][0-9]{2}-[0-9]{2}-[0-9]{4} si le premier chiffre de vos nombres est compris entre 1 et 8, et que vous voulez qu'il en soit de même pour les valeurs cryptées.

Pour obtenir de l'aide sur l'écriture des expressions régulières, reportez-vous à Expressions régulières.