Как создать идентичные симметричные ключи на двух серверах
Для расшифровки текста необходим ключ, который был использован для его шифрования. Если шифрование и расшифровка происходят в одной и той же базе данных, ключ хранится в базе данных и доступен для шифрования и расшифровки в зависимости от разрешений. Но если шифрование и расшифровка происходят в разных базах данных или на разных серверах, ключ хранится в одной из них и недоступен для использования в другой. В данном разделе показано, как предоставить общий симметричный ключ базам данных на двух разных серверах.
Обзор
Создание идентичных симметричных ключей не является сложной операцией. Симметричные ключи, созданные с одинаковыми параметрами KEY_SOURCE, ALGORITHM и IDENTITY_VALUE, будут идентичны. Перед созданием симметричного ключа необходимо убедиться, что инициализированы механизмы управления ключами SQL Server. Если они еще не существуют, необходимо создать главный ключ базы данных для автоматического управления ключами и сертификат, при помощи которого будет производиться шифрование симметричного ключа. Кроме того, симметричный ключ можно защитить паролем. Дополнительные сведения см. в разделе CREATE SYMMETRIC KEY (Transact-SQL).
Пример
В данном примере создаются идентичные симметричные ключи на двух серверах. В этом примере используется алгоритм шифрования AES_256. Алгоритмы шифрования AES не поддерживаются в Windows XP и Windows Server 2000. Необходимо задать другой алгоритм, например TRIPLE_DES.
Создайте ключи, выполнив на обоих серверах следующие инструкции CREATE MASTER KEY, CREATE CERTIFICATE и CREATE SYMMETRIC KEY.
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'My p@55w0Rd'; GO CREATE CERTIFICATE [cert_keyProtection] WITH SUBJECT = 'Key Protection'; GO CREATE SYMMETRIC KEY [key_DataShare] WITH KEY_SOURCE = 'My key generation bits. This is a shared secret!', ALGORITHM = AES_256, IDENTITY_VALUE = 'Key Identity generation bits. Also a shared secret' ENCRYPTION BY CERTIFICATE [cert_keyProtection]; GOПроверьте ключи, запустив на одном сервере вначале инструкцию OPEN SYMMETRIC KEY, а затем инструкцию SELECT.
OPEN SYMMETRIC KEY [key_DataShare] DECRYPTION BY CERTIFICATE cert_keyProtection; GO SELECT encryptbykey(key_guid('key_DataShare'), 'MyData' ) GO -- For example, the output might look like this: 0x2152F8DA8A500A9EDC2FAE26D15C302DA70D25563DAE7D5D1102E3056CE9EF95CA3E7289F7F4D0523ED0376B155FE9C3На втором сервере вставьте результат выполнения инструкции SELECT в приведенный ниже программный код в качестве значения @blob и выполните его, чтобы убедиться, что данные расшифровываются вторым ключом.
OPEN SYMMETRIC KEY [key_DataShare] DECRYPTION BY CERTIFICATE cert_keyProtection; GO DECLARE @blob varbinary(8000); SET @blob = SELECT CONVERT(varchar(8000), decryptbykey(@blob)); GOЗакройте симметричные ключи на обоих серверах.
CLOSE SYMMETRIC KEY [key_DataShare]; GO