Инициализация мастер-ключа

Мастер-ключ для каждой базы данных свой. Несмотря на это, любой мастер-ключ может быть скопирован во вторичную базу данных, если ранее он не был там использован. Прежде чем, зашифровывать данные таблицы, необходимо создать мастер-ключ. Для этого существует следующая команда:

SQL> alter system set key identified by "password";

Эта команда создает «тубус для ключей» (Oracle Wallet) и использует указанный в команде пароль для зашифровывания в соответствии со стандартом PKCS#5. Oracle Wallet сохраняет историю уже использованных мастер-ключей и делает их доступными, когда данные, зашифрованные старым ключом, считываются с резервных носителей.

Как открыть «тубус для ключей» Oracle Wallet

До того как база данных сможет расшифровать табличные ключи для зашифровывания и расшифровывания прикладных данных, необходимо открыть «тубус для ключей» Wallet, который содержит первичный ключ шифрования. Конечно, можно запустить базу данных и работать в ней без открытия Wallet, но при попытке получить доступ к зашифрованным данным база данных выдаст сообщение об ошибке. Закрывать Wallet (и ограничивать тем самым доступ к данным) целесообразно только в ходе работ по техническому обслуживанию, когда доступ к базе данных разрешен специалисту, занимающемуся поддержкой.

Как изменить Мастер-ключ

Мастер-ключ может быть изменен при повторном запуске команды “alter system”.

SQL> alter system set key identified by "password";

При изменении мастер-ключа все табличные ключи в справочнике Oracle будут обновлены (расшифрованы и зашифрованы вновь). Стандарт безопасности данных PCI (DSS) 1.1 требует «обновлять ключи шифрования, не реже одного раза в год». Изменение мастер-ключа приведет к обновлению зашифрованных ключей столбцов, используя новый мастер-ключ, а зашифрованные данные в таблицах останутся без изменений.

Как изменить пароль Wallet

Пароль Wallet может быть изменен независимо от мастер-ключа шифрования, он используется исключительно для зашифровывания данных файла Wallet на диске. Для этого можно воспользоваться программой Oracle Wallet Manager (нужно ввести в командной строке 'owm' ) или утилитой 'orapki'.