Добрый день,
Не уверен, что этот вопрос лучше подходит для SO или SF ...
Соответствие PCI требует ежегодной ротации ключей. Определение «ротации ключей», с которым я все время сталкиваюсь, расшифровывает ваши данные, а затем перекодирует с новым ключом. В самом деле? Каждый человек каждый год расшифровывает / шифрует все свои зашифрованные данные?
В настоящее время у меня есть 16 баз данных на 3 серверах с несколькими таблицами в каждой базе данных - и это будет только расти. Выполнение этого вручную открывает огромные возможности для ошибок, делая мои данные нечитаемыми. Да, я мог бы написать что-нибудь, чтобы сделать это ... но действительно ли это то, что все делают? Можете ли вы порекомендовать доступный (субъективно, я знаю) сторонний инструмент?
Я видел несколько предложений об "изменении" ключей выше в иерархии. Мы используем часто рекомендуемую иерархию главного ключа базы данных, шифрующую сертификат, который шифрует симметричный ключ, который шифрует данные.
Во-первых, это не соответствует определению «вращение клавиш». Во-вторых, даже если я поменяю DMK или сертификат, это не помешает расшифровке данных с помощью того же симметричного ключа, который предположительно плохой парень украл / взломал.
Спасибо!