Verschlüsselte Datenbank erstellen

Um eine verschlüsselte Datenbank zu erstellen, können Sie folgende Werkzeuge verwenden:

Das Initialisierungs-Dienstprogramm (dbinit) in Kombination mit diversen Optionen zur Aktivierung der starken Verschlüsselung.

Die Optionen -ek oder -ep des dbinit-Dienstprogramms erstellen eine Datenbank mit starker Verschlüsselung, wobei Sie den Chiffrierschlüssel in einem Dialogfeld oder in der Befehlszeile festlegen können. Die dbinit-Option -ea setzt den Verschlüsselungsalgorithmus auf AES oder AES256 (oder auf AES_FIPS oder AES256_FIPS beim FIPS-bestätigten Algorithmus). Weitere Hinweise finden Sie unter Dienstprogramm Initialisierung (dbinit).
Den Assistenten zum Erstellen einer Datenbank in Sybase Central zur Erstellung einer stark verschlüsselten Datenbank. Weitere Hinweise finden Sie unter Datenbank erstellen (Sybase Central).
Das Dienstprogramm Entladen (dbunload) mit Optionen zur Erstellung einer neuen Datenbank mit starker Verschlüsselung. Die Option -an erstellt eine Datenbank. Um die starke Verschlüsselung und den Chiffrierschlüssel in einem Dialogfeld oder in der Befehlszeile einzugeben, benutzen Sie die Option -ek oder -ep. Die Option -ea setzt den Verschlüsselungsalgorithmus auf AES oder AES256 (oder auf AES_FIPS oder AES256_FIPS beim FIPS-bestätigten Algorithmus). Weitere Hinweise finden Sie unter Entladen-Dienstprogramm (dbunload).
Sie können auch den Assistenten zum Entladen einer Datenbank in Sybase Central benutzen, um eine stark verschlüsselte Datenbank zu erstellen. Weitere Hinweise finden Sie unter Daten mit dem Assistenten zum Entladen einer Datenbank exportieren.
Folgende SQL-Anweisungen können benutzt werden:

♦ So erstellen Sie eine verschlüsselte Datenbank (SQL)

Stellen Sie von Interactive SQL aus eine Verbindung mit einer Datenbank her.

Führen Sie eine CREATE DATABASE-Anweisung mit der Klausel ENCRYPTION und den Optionen KEY und ALGORITHM aus.

Die folgende Anweisung erstellt z.B. eine Datenbankdatei namens myencrypteddb.db im Verzeichnis c:\ unter Verwendung der FIPS-bestätigten 128-Bit-AES-Verschlüsselung.

CREATE DATABASE 'c:\\myencrypteddb.db'
TRANSACTION LOG ON
ENCRYPTED ON
  KEY '0kZ2o52AK#'
  ALGORITHM 'AES_FIPS';

♦ So erstellen Sie eine verschlüsselte Datenbank (Eingabeaufforderung)

Verwenden Sie das Dienstprogramm dbinit, um eine Datenbank zu erstellen. Sie müssen die Optionen -ek oder -ep verwenden, um den Chiffrierschlüssel in der Befehlszeile bzw. in einem Fenster anzugeben.

Der folgende Befehl erstellt eine stark verschlüsselte Datenbank mit Angabe des Chiffrierschlüssels und des Algorithmus.
dbinit -ek "0kZ2o56AK#" -ea AES_FIPS "myencrypteddb.db"
Führen Sie den folgenden Befehl aus, um die Datenbank zu starten:
dbeng12 myencrypteddb.db -ek "0kZ2o56AK#"

♦ So erstellen Sie eine verschlüsselte Datenbank mithilfe einer vorhandenen Datenbank (SQL)

Verbinden Sie sich über Interactive SQL mit einer vorhandenen Datenbank (nicht mit der, die Sie kopieren).

Entschlüsseln Sie die Datenbank mit der Anweisung CREATE ENCRYPTED DATABASE.

Das folgende Beispiel übernimmt die Datenbankdatei demo.db und erstellt eine AES-verschlüsselte Kopie namens encryptedDemo.db von ihr.

CREATE ENCRYPTED DATABASE 'encryptedDemo.db'
FROM 'demo.db'
KEY 'abc'
ALGORITHM 'AES';

Wenn Sie eine CREATE ENCRYPTED DATABASE-Anweisung ausführen, verschlüsseln (überschreiben) Sie die Datei nicht, sondern erstellen eine Kopie der Datei in verschlüsselter Form. Wenn Transaktionlogs, Transaktionslogspiegel oder DBSpaces zu der Datenbank gehören, werden auch verschlüsselte Kopien dieser Dateien angelegt. Siehe CREATE ENCRYPTED DATABASE-Anweisung.

Datenbank für den technischen Kundendienst verschlüsseln

Wenn Sie über eine Datenbank verfügen, die eine Wiederherstellung benötigt, und Sie sie verschlüsseln möchten, um sie an den technischen Kundendienst zu senden, müssen Sie die Anweisung CREATE ENCRYPTED FILE verwenden. Alle zu der Datenbank gehörenden Dateien, wie Transaktionslog und Transaktionslogspiegel, sowie DBSpace-Dateien müssen ebenfalls mit dieser Anweisung verschlüsselt werden. Siehe CREATE ENCRYPTED FILE-Anweisung.

Vergleich von CREATE ENCRYPTED DATABASE und CREATE ENCRYPTED FILE

Verwenden Sie die Anweisung CREATE ENCRYPTED DATABASE, wenn eine Datenbank vorhanden ist, die Sie verschlüsseln möchten. Verwenden Sie die Anweisung CREATE ENCRYPTED FILE nur, wenn eine Datenbank vorhanden ist, die Sie zur Wiederherstellung verschlüsseln möchten.

Für beide Anweisungen benötigen Sie die DBA-Berechtigung. Sie können nicht mit der Datenbank verbunden sein, die Sie verschlüsseln, wenn Sie die Anweisung ausführen.

Die Anweisungen CREATE ENCRYPTED FILE und CREATE ENCRYPTED DATABASE haben folgende Unterschiede:

Die Anweisung CREATE ENCRYPTED FILE muss für alle Dateien, die zur Datenbank gehören (Transaktionslog, Transaktionslogspiegel, DBSpace, wenn vorhanden), getrennt durchgeführt werden. Mit der Anweisung CREATE ENCRYPTED DATABASE werden dagegen alle zur Datenbank gehörenden Dateien automatisch verschlüsselt.
Die Anweisung CREATE ENCRYPTED DATABASE kann nicht für eine Datenbank verwendet werden, die eine Wiederherstellung benötigt, die Anweisung CREATE ENCRYPTED FILE hingegen schon.
Die Anweisung CREATE ENCRYPTED DATABASE kann nicht in Prozeduren, Triggern oder Batches verwendet werden. Die Anweisung CREATE ENCRYPTED FILE hingegen schon.
Die Anweisung CREATE ENCRYPTED DATABASE unterstützt den Verschlüsselungsalgorithmus SIMPLE, die Anweisung CREATE ENCRYPTED FILE hingegen nicht.

Siehe auch

Weitere Hinweise zu Chiffrierschlüsseln finden Sie unter Verbindungsparameter DatabaseKey (DBKEY).

Unter Windows Mobile werden die AES_FIPS- und AES256_FIPS-Algorithmen nur mit ARM-Prozessoren unterstützt.

Hinweis

FIPS steht nicht auf allen Plattformen zur Verfügung. Eine Liste der unterstützten Plattformen finden Sie unter [external link] http://www.sybase.com/detail?id=1061806.

Kommentieren Sie diese Seite in DocCommentXchange.