تمت ترجمة هذه الوثائق تلقائيًا بواسطة الذكاء الاصطناعي.
التشفير
مقدمة
يمكن تشفير بعض بيانات العمل الحساسة، مثل أرقام هواتف العملاء وعناوين البريد الإلكتروني وأرقام البطاقات وغيرها. بعد التشفير، تُخزّن هذه البيانات في قاعدة البيانات على شكل نص مشفر.
طريقة التشفير
تنشئ الإضافة تلقائيًا مفتاح التطبيق، ويُحفظ هذا المفتاح في الدليل /storage/apps/main/encryption-field-keys.
يُسمى ملف مفتاح التطبيق بمعرّف المفتاح، وامتداده .key. يُرجى عدم تغيير اسم الملف عشوائيًا.
يُرجى الاحتفاظ بملف مفتاح التطبيق بأمان. إذا فُقد ملف مفتاح التطبيق، فلن تتمكن البيانات المشفرة من فك تشفيرها.
إذا تم تمكين الإضافة بواسطة تطبيق فرعي، فإن دليل حفظ المفتاح الافتراضي هو /storage/apps/${sub-application name}/encryption-field-keys.
آلية العمل
تعتمد طريقة تشفير الأظرف (Envelope Encryption).
عملية إنشاء المفتاح
- عند إنشاء حقل مشفر لأول مرة، ينشئ النظام تلقائيًا
مفتاح تطبيقبحجم 32 بت، ويُحفظ بترميز Base64 في دليل التخزين الافتراضي. - في كل مرة يتم فيها إنشاء حقل مشفر جديد، يتم إنشاء
مفتاح حقلعشوائي بحجم 32 بت لهذا الحقل، ثم يُشفر باستخداممفتاح التطبيقومتجه تشفير الحقلعشوائي بحجم 16 بت (باستخدام خوارزمية تشفيرAES)، ثم يُحفظ في حقلoptionsبجدولfields.
عملية تشفير الحقول
- في كل مرة تُكتب فيها بيانات إلى حقل مشفر، يتم أولاً استرداد
مفتاح الحقلالمشفر ومتجه تشفير الحقلمن حقلoptionsبجدولfields. - يُفك تشفير
مفتاح الحقلالمشفر باستخداممفتاح التطبيقومتجه تشفير الحقل. ثم تُشفر البيانات باستخداممفتاح الحقلومتجه تشفير البياناتعشوائي بحجم 16 بت (باستخدام خوارزمية تشفيرAES). - تُوقّع البيانات باستخدام
مفتاح الحقلالمفكوك تشفيره (باستخدام خوارزمية التجزئةHMAC-SHA256) وتُحوّل إلى سلسلة نصية بترميز Base64 (توقيع البياناتالناتج يُستخدم لاحقًا لاسترجاع البيانات). - يتم دمج
متجه تشفير البياناتبحجم 16 بت ونص البيانات المشفربشكل ثنائي، وتُحوّل النتيجة إلى سلسلة نصية بترميز Base64. - يتم دمج سلسلة
توقيع البياناتالمشفرة بـ Base64 وسلسلةنص البيانات المشفرالمدمجة المشفرة بـ Base64، بفصلها بنقطة.. - تُحفظ السلسلة النصية المدمجة النهائية في قاعدة البيانات.
متغيرات البيئة
لتحديد مفتاح تطبيق مخصص، يمكنك استخدام متغير البيئة ENCRYPTION_FIELD_KEY_PATH. ستقوم الإضافة بتحميل الملف الموجود في هذا المسار كـ مفتاح تطبيق.
متطلبات تنسيق ملف مفتاح التطبيق:
- يجب أن يكون امتداد الملف
.key. - سيُستخدم اسم الملف كمعرّف للمفتاح؛ يُوصى باستخدام UUID لضمان التفرد.
- يجب أن يكون محتوى الملف بيانات ثنائية بحجم 32 بت مشفرة بـ Base64.
إعدادات الحقل
تأثير التشفير على التصفية
الحقول المشفرة تدعم فقط: يساوي، لا يساوي، موجود، غير موجود.
آلية تصفية البيانات:
- استرداد
مفتاح الحقلالمشفر، وفك تشفيره باستخداممفتاح التطبيق. - استخدام
مفتاح الحقللتوقيع نص البحث الذي أدخله المستخدم (باستخدام خوارزمية التجزئةHMAC-SHA256). - دمج التوقيع مع فاصل
.، وإجراء استعلام مطابقة البادئة في قاعدة البيانات للحقول المشفرة.
تدوير المفتاح
قبل استخدام أمر تدوير المفتاح nocobase key-rotation، تأكد من أن التطبيق قد قام بتحميل هذه الإضافة.
عند ترحيل تطبيق إلى بيئة جديدة، إذا كنت لا ترغب في الاستمرار في استخدام نفس المفتاح الخاص بالبيئة القديمة، يمكنك استخدام أمر nocobase key-rotation لاستبدال مفتاح التطبيق.
يتطلب تشغيل أمر تدوير المفتاح تحديد مفتاح التطبيق الخاص بالبيئة القديمة. بعد التنفيذ، سيتم إنشاء مفتاح تطبيق جديد واستبدال المفتاح القديم. يُحفظ مفتاح التطبيق الجديد بترميز Base64 في دليل التخزين الافتراضي.
لتدوير مفتاح التطبيق الخاص بتطبيق فرعي، يجب إضافة المعامل --app-name، وتحديد اسم التطبيق الفرعي.