TDE: Выключение шифрования
Если по каким-либо причинам было решено, что база данных больше не должна шифроваться, то отключить шифрование можно с помощью команды PROUTIL DISABLEENCRYPTION. Синтаксис этой команды следующий:
proutil db-name -C disableencryption
Отключение шифрования приведет к расшифровке всех данных в базе, к удалению всех политик шифрования и к архивации хранилища ключей, т.е. файл dbname.ks будет переименован в dbname.ksbk.
Если же количество зашифрованных объектов очень большое, то желательно выполнить контролируемую расшифровку объектов до выполнения команды DISABLEENCRYPTION. Для этого необходимо изменить шифр политики шифрования на нулевой (-Cipher 0).
Пример контролируемого отключения шифрования:
- С помощью команды EPOLICY SCAN проверьте, что объекты зашифрованы
Для областей SAT-I: $ proutil bank -C epolicy scan area "TestArea1" -pf my.pf
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
AREA TestArea1/7 CURRENT AES_CBC_128 V:0 1784 of 1784 blocks encrypted
Для объектов в области SAT-II: $ proutil bank -C epolicy scan table adr-a
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
TABLE adr-a / 4 CURRENT AES_CBC_128 V:5 512 of 512 blocks encrypted
Таким образом видно, что интересующие объекты действительно зашифрованы.
- Измените шифр политики шифрования каждого объекта на нулевой
Для области SAT-I: $ proutil bank -C epolicy manage area cipher "TestArea1" -Cipher 0
-Passphrase -pf my.pf
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
Please enter the Pass Phrase:
Encryption policy cipher change for Area TestArea1 in Area 7 (15504)
Cipher specification change to NULL_NULL_NULL completed. (15492)
Для объектов в области SAT-II: $ proutil bank -C epolicy manage table cipher adr-a
-Cipher 0 -Passphrase
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
Please enter the Pass Phrase:
Encryption policy cipher change for Area adr-a in Area 8 (15504)
Cipher specification change to NULL_NULL_NULL completed. (15492)
- С помощью EPOLICY SCAN проверьте, что изменение политики каждого объекта было выполнено:
Для областей SAT-I: $ proutil bank -C epolicy scan area "TestArea1" -pf my.pf
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
AREA TestArea1/7 CURRENT NUL_NUL_NUL V:1 79 of 1784 blocks encrypted
AREA TestArea1/7 PREVIOUS AES_CBC_128 V:0 1705 of 1784 blocks encrypted
$ proutil bank -C epolicy scan table adr-a
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
TABLE adr-a / 4 CURRENT NUL_NUL_NUL V:6 294 of 512 blocks encrypted
TABLE adr-a / 4 PREVIOUS AES_CBC_128 V:5 218 of 512 blocks encrypted
Обратите внимание, что сканирование показало наличие блоков, зашифрованных с помощью двух версий политики шифрования.
- Обновите зашифрованные блоки объектов так, чтобы они все использовали последнюю версию политики шифрования
Для областей SAT-I: $ proutil bank -C epolicy manage area update "TestArea1" -pf my.pf
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
Для объектов в области SAT-II: $ proutil bank -C epolicy manage table update adr-a
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
Помните, что расшифровка большого количества объектов может занять много времени и существенно повлиять на производительность системы. Поэтому перед запуском команды DISABLEENCRYPTION имеет смысл вручную, последовательно расшифровать каждый объект указанным выше способом. Тем самым можно добиться того, что влияние процесса отключения шифрования на производительность системы в целом будет минимальным.
| 
Главная
