MariaDBで非対称鍵暗号化を使用してデータを保護する
2024-05-27
MariaDB の非対称鍵暗号化
対称鍵暗号化は、同じ鍵を使ってデータを暗号化と復号化するため、鍵管理が重要になります。一方、非対称鍵暗号化は、暗号化と復号化に異なる鍵ペアを使用するため、鍵管理が容易になります。
MariaDBは、非対称鍵暗号化を使用して、データベース全体、テーブル、列、または個々のセルを暗号化することができます。
MariaDBで非対称鍵暗号化を使用する利点
- データの機密性を向上させる
- データ漏洩のリスクを軽減する
- コンプライアンス要件を満たす
MariaDBで非対称鍵暗号化を使用するには、次の手順を実行する必要があります。
- 鍵ペアを生成する
- 鍵ペアをMariaDBに登録する
- 暗号化するデータまたはオブジェクトを指定する
例
次のコマンドを使用して、鍵ペアを生成できます。
openssl genrsa -out private_key.pem 2048
openssl rsa -in private_key.pem -out public_key.pem -pubout
生成された鍵ペアをMariaDBに登録するには、次のコマンドを実行します。
mysql -u root -p
CREATE KEY public_key USING RSA PUBLIC KEY '-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAASCAwL...
-----END PUBLIC KEY-----'
暗号化するデータまたはオブジェクトを指定するには、次のクエリを使用します。
ALTER TABLE my_table
ENCRYPT my_column USING PUBLIC KEY '-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAASCAwL...
-----END PUBLIC KEY-----';
注意事項
- 非対称鍵暗号化を使用するには、MariaDB 10.2以降が必要です。
- 鍵ペアは安全な場所に保管する必要があります。
- 暗号化されたデータは、復号化キーがないと復号化できません。
プログラミング例
MariaDBで非対称鍵暗号化を使用する基本的な方法を次のコード例に示します。
import mysql.connector
# データベースへの接続
db = mysql.connector.connect(
host="localhost",
user="root",
password="password",
database="my_database"
)
# 鍵ペアの生成
import os
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives.asymmetric import rsa
def generate_key_pair():
key = rsa.generate_private_key(
public_exponent=65537,
key_size=2048,
backend=default_backend()
)
private_key = key.private_key_pem_bytes(encoding=Encoding.PEM, encryption_algorithm=None)
public_key = key.public_key_pem_bytes(encoding=Encoding.PEM)
return private_key, public_key
private_key, public_key = generate_key_pair()
# 鍵ペアの登録
cursor = db.cursor()
cursor.execute("""
CREATE KEY public_key USING RSA PUBLIC KEY %s
""", (public_key,))
db.commit()
# データの暗号化
cursor.execute("""
ALTER TABLE my_table
ENCRYPT my_column USING PUBLIC KEY '-----BEGIN PUBLIC KEY-----
%s
-----END PUBLIC KEY-----'
""", (public_key,))
db.commit()
# データの復号化
private_key_pem = private_key.decode('utf-8')
private_key = rsa.PrivateKey.from_private_key_pem(private_key_pem)
cursor.execute("""
SELECT my_column
FROM my_table
""")
row = cursor.fetchone()
encrypted_value = row[0]
decrypted_value = private_key.decrypt(
encrypted_value,
encoding=
サンプルコード: MariaDBで非対称鍵暗号化を使用する
ライブラリのインポート
import mysql.connector
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives.asymmetric import rsa
データベースへの接続
db = mysql.connector.connect(
host="localhost",
user="root",
password="password",
database="my_database"
)
def generate_key_pair():
key = rsa.generate_private_key(
public_exponent=65537,
key_size=2048,
backend=default_backend()
)
private_key = key.private_key_pem_bytes(encoding=Encoding.PEM, encryption_algorithm=None)
public_key = key.public_key_pem_bytes(encoding=Encoding.PEM)
return private_key, public_key
private_key, public_key = generate_key_pair()
cursor = db.cursor()
cursor.execute("""
CREATE KEY public_key USING RSA PUBLIC KEY %s
""", (public_key,))
db.commit()
データの暗号化
cursor.execute("""
ALTER TABLE my_table
ENCRYPT my_column USING PUBLIC KEY '-----BEGIN PUBLIC KEY-----
%s
-----END PUBLIC KEY-----'
""", (public_key,))
db.commit()
private_key_pem = private_key.decode('utf-8')
private_key = rsa.PrivateKey.from_private_key_pem(private_key_pem)
cursor.execute("""
SELECT my_column
FROM my_table
""")
row = cursor.fetchone()
encrypted_value = row[0]
decrypted_value = private_key.decrypt(
encrypted_value,
encoding=Encoding.UTF8,
# ここで、復号化アルゴリズムを指定する必要があります。
# 例:PKCS1_OAEP(mgf=SHA256, label=b'')
)
print(decrypted_value.decode('utf-8'))
- このコードはあくまで例であり、実際の環境に合わせて変更する必要があります。
- 復号化アルゴリズムは、暗号化に使用したものと同じである必要があります。
改善点
- コードをより簡潔にするために、関数を使用しました。
- コードの説明をより詳しくしました。
- 復号化アルゴリズムを指定する必要があることを明記しました。
- このサンプルコードは、MariaDBで非対称鍵暗号化を使用する基本的な方法を示しています。より高度な使用方法については、MariaDBのドキュメントを参照してください。
データベース全体を暗号化
この方法は、データベース内のすべてのデータを暗号化します。最も強力なセキュリティを提供しますが、パフォーマンスへの影響も大きくなります。
ALTER DATABASE my_database
ENCRYPTION = 'Y'
REQUIRE SSL = 'YES';
テーブルを暗号化
この方法は、個々のテーブルを暗号化します。データベース全体を暗号化するよりもパフォーマンスへの影響が少なく、機密性の高いデータのみを暗号化したい場合に適しています。
ALTER TABLE my_table
ENCRYPTION = 'Y'
REQUIRE SSL = 'YES';
列を暗号化
ALTER TABLE my_table
MODIFY my_column ENCRYPT BY '-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAASCAwL...
-----END PUBLIC KEY-----';
個々のセルを暗号化
MariaDB 10.5以降では、個々のセルを暗号化することができます。これは、最もきめ細かな暗号化レベルであり、機密性の極めて高いデータのみを暗号化したい場合に適しています。
ALTER TABLE my_table
MODIFY my_column SET ENCRYPTION = 'Y',
ENCRYPTION_KEY = '-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAASCAwL...
-----END PUBLIC KEY-----';
- 上記以外にも、MariaDBで非対称鍵暗号化を使用する方法はいくつかあります。
encryption mariadb
