未加工の暗号化

未加工の暗号化を使用すると、データベースサーバ内のデータを、エクスポートしてデータベースサーバ外で復号化できるフォーマットに暗号化できます。このような暗号化は、「未加工」フォーマットと呼ばれます。未加工フォーマットでデータを暗号化するには、暗号化キーと初期化ベクトルを指定する必要があります。また、必要に応じて埋め込みフォーマットも指定します。データを復号化するには、同じパラメータ値を指定する必要があります。　　

また、DECRYPT 関数を使用して、データベースサーバ内のデータを復号化することもできます。

未加工の暗号化は、次の場合に便利です。

データベースユーザがデータにアクセスできないようにする場合 未加工の暗号化を使用して、データベース管理者さえもアクセスさせない機密データを暗号化し、データベースサーバを使用しないでクライアントアプリケーションでデータを復号化することができます。未加工の暗号化は、データの暗号化と復号化をデータベースサーバのみが実行する必要がある場合はおすすめできません。
TLS 暗号化を使用できない場合 未加工の暗号化は、TLS 暗号化の代わりに使用できます。TLS 暗号化とは異なり、未加工の暗号化では、リプレイや中間者攻撃を防止できません。また、データベースサーバも認証できません。

例

データベースの SensitiveData テーブルにある binary_data カラムから、データベースを使用しないクライアントにデータを送信する必要があります。機密データであるため、次の SQL 文を使用して、データを未加工フォーマットに暗号化します。

SELECT ENCRYPT( binary_data, 'TheEncryptionKey','AES(FORMAT=RAW)',
'ThisIsTheIV' )FROM SensitiveData;

暗号化データを、内容を復号化できるアプリケーションとともにクライアントにコピーします。また、アプリケーションで使用する暗号化キー (TheEncryptionKey) と初期化ベクトル (ThisIsTheIV) もクライアントに提供します。クライアントはアプリケーションを使用してデータを復号化し、表示します。

参照

DocCommentXchange で意見交換できます