Dit document is vertaald door AI. Voor onnauwkeurigheden, raadpleeg de Engelse versie
Versleuteling
Introductie
Sommige gevoelige bedrijfsgegevens, zoals telefoonnummers van klanten, e-mailadressen of kaartnummers, kunnen worden versleuteld. Na versleuteling worden deze gegevens als cijfertekst opgeslagen in de database.
Versleuteling
De plugin genereert automatisch een applicatiesleutel, die wordt opgeslagen in de map /storage/apps/main/encryption-field-keys.
De bestandsnaam van de applicatiesleutel is de sleutel-ID, met de extensie .key. Wijzig de bestandsnaam niet zomaar.
Bewaar het bestand met de applicatiesleutel zorgvuldig. Als u het bestand met de applicatiesleutel verliest, kunnen de versleutelde gegevens niet meer worden ontsleuteld.
Als de plugin is ingeschakeld voor een sub-applicatie, wordt de sleutel standaard opgeslagen in de map /storage/apps/${sub-applicatie naam}/encryption-field-keys.
Hoe het werkt
Maakt gebruik van envelopversleuteling.
Proces voor sleutelcreatie
- De eerste keer dat u een versleuteld veld aanmaakt, genereert het systeem automatisch een 32-bits
applicatiesleutel. Deze wordt in Base64-codering opgeslagen in de standaard opslagmap. - Telkens wanneer u een nieuw versleuteld veld aanmaakt, wordt voor dit veld een willekeurige 32-bits
veldsleutelgegenereerd. Deze wordt vervolgens versleuteld met deapplicatiesleutelen een willekeurig gegenereerde 16-bitsveldversleutelingsvector(met hetAES-versleutelingsalgoritme), en daarna opgeslagen in hetoptions-veld van defields-tabel.
Proces voor veldversleuteling
- Telkens wanneer u gegevens naar een versleuteld veld schrijft, haalt u eerst de versleutelde
veldsleutelenveldversleutelingsvectorop uit hetoptions-veld van defields-tabel. - U ontsleutelt de versleutelde
veldsleutelmet behulp van deapplicatiesleutelen develdversleutelingsvector. Vervolgens worden de gegevens versleuteld met develdsleutelen een willekeurig gegenereerde 16-bitsgegevensversleutelingsvector(met hetAES-versleutelingsalgoritme). - De gegevens worden ondertekend met de ontsleutelde
veldsleutel(met hetHMAC-SHA256-digestalgoritme) en omgezet naar een Base64-gecodeerde string. (De gegenereerdegegevenshandtekeningwordt later gebruikt voor gegevensopvraging.) - De 16-bits
gegevensinitialisatievectoren de versleuteldecijfertekstworden binair samengevoegd en vervolgens in Base64 gecodeerd naar een string. - De Base64-gecodeerde string van de
gegevenshandtekeningen de samengevoegde Base64-gecodeerde string van decijfertekstworden samengevoegd met een.als scheidingsteken. - De uiteindelijke samengevoegde string wordt opgeslagen in de database.
Omgevingsvariabelen
Als u een aangepaste applicatiesleutel wilt opgeven, kunt u de omgevingsvariabele ENCRYPTION_FIELD_KEY_PATH gebruiken. De plugin zal het bestand op dat pad laden als de applicatiesleutel.
Vereisten voor het bestand met de applicatiesleutel:
- De bestandsextensie moet
.keyzijn. - De bestandsnaam wordt gebruikt als sleutel-ID; het wordt aanbevolen om een UUID te gebruiken om uniciteit te garanderen.
- De inhoud van het bestand moet bestaan uit 32 bytes aan Base64-gecodeerde binaire gegevens.
Veldconfiguratie
Impact op filteren na versleuteling
Versleutelde velden ondersteunen alleen: gelijk aan, niet gelijk aan, bestaat, bestaat niet.
Werkwijze voor gegevensfiltering:
- Haal de
veldsleutelvan het versleutelde veld op en ontsleutel deze met deapplicatiesleutel. - Gebruik de
veldsleutelom de door de gebruiker ingevoerde zoektekst te ondertekenen (metHMAC-SHA256). - Voeg de ondertekende zoektekst samen met een
.als scheidingsteken en voer een zoekopdracht met voorvoegselovereenkomst uit op het versleutelde veld in de database.
Sleutelrotatie
Voordat u de nocobase key-rotation-opdracht gebruikt, moet u ervoor zorgen dat de plugin is geladen in de applicatie.
Wanneer u een applicatie naar een nieuwe omgeving migreert en niet langer dezelfde sleutel als de oude omgeving wilt gebruiken, kunt u de nocobase key-rotation-opdracht gebruiken om de applicatiesleutel te vervangen.
Voor het uitvoeren van de sleutelrotatie-opdracht moet u de applicatiesleutel van de oude omgeving opgeven. Na uitvoering wordt een nieuwe applicatiesleutel gegenereerd en (Base64-gecodeerd) opgeslagen in de standaardmap.
Als u de applicatiesleutel van een sub-applicatie wilt vervangen, moet u de parameter --app-name toevoegen en de naam van de sub-applicatie opgeven.