Detta dokument har översatts av AI. För eventuella felaktigheter, se den engelska versionen
Kryptering
Introduktion
Vissa känsliga affärsdata, som kunders mobilnummer, e-postadresser och kortnummer, kan krypteras. Efter kryptering lagras de som chiffertext i databasen.
Krypteringsmetoder
Pluginet genererar automatiskt en applikationsnyckel som lagras i katalogen /storage/apps/main/encryption-field-keys.
Applikationsnyckelfilen namnges med nyckel-ID och har filändelsen .key. Ändra inte filnamnet godtyckligt.
Förvara applikationsnyckelfilen säkert. Om ni förlorar den kommer krypterad data inte att kunna dekrypteras.
Om pluginet aktiveras av en underapplikation sparas nyckeln som standard i katalogen /storage/apps/${underapplikationens namn}/encryption-field-keys.
Så fungerar det
Vi använder kuvertkryptering.
Process för nyckelskapande
- Första gången ett krypterat fält skapas genererar systemet automatiskt en 32-bitars
applikationsnyckelsom sparas i standardlagringskatalogen, Base64-kodad. - Varje gång ett nytt krypterat fält skapas genereras en slumpmässig 32-bitars
fältnyckelför fältet. Den krypteras sedan medapplikationsnyckelnoch en slumpmässigt genererad 16-bitarsfältkrypteringsvektor(AES-krypteringsalgoritmen) och sparas i fältetoptionsi tabellenfields.
Process för fältkryptering
- Varje gång ni skriver data till ett krypterat fält hämtas först den krypterade
fältnyckelnochfältkrypteringsvektornfrån fältetoptionsi tabellenfields. - Den krypterade
fältnyckelndekrypteras med hjälp avapplikationsnyckelnochfältkrypteringsvektorn. Därefter krypteras datan medfältnyckelnoch en slumpmässigt genererad 16-bitarsdatakrypteringsvektor(AES-krypteringsalgoritmen). - Datan signeras med den dekrypterade
fältnyckeln(HMAC-SHA256-hashalgoritmen) och konverteras till en Base64-kodad sträng (den resulterandedatasignaturenanvänds sedan för datahämtning). - Den 16-bitars
datakrypteringsvektornoch den krypteradechiffertextensammanfogas binärt och omvandlas till en Base64-kodad sträng. - Den Base64-kodade
datasignaturenoch den Base64-kodadechiffertextensammanfogas med en.som avgränsare. - Den slutliga sammanfogade strängen sparas i databasen.
Miljövariabler
Om ni vill ange en anpassad applikationsnyckel kan ni använda miljövariabeln ENCRYPTION_FIELD_KEY_PATH. Pluginet kommer då att ladda filen från den angivna sökvägen som applikationsnyckel.
Krav för applikationsnyckelfilen:
- Filändelsen måste vara
.key. - Filnamnet kommer att användas som nyckel-ID; vi rekommenderar att ni använder ett UUID för att säkerställa unikhet.
- Filinnehållet måste vara 32 byte Base64-kodad binär data.
Fältkonfiguration
Påverkan på filtrering efter kryptering
Krypterade fält stöder endast följande filter: lika med, inte lika med, existerar, existerar inte.
Filtreringsprocess:
- Hämta det krypterade fältets
fältnyckeloch dekryptera den medapplikationsnyckeln. - Använd
fältnyckelnför att signera användarens inmatning (HMAC-SHA256). - Sammanfoga signaturen med en
.som avgränsare och utför en prefixmatchningsfråga i databasen.
Nyckelrotation
Innan ni använder kommandot nocobase key-rotation, se till att pluginet är laddat i applikationen.
När en applikation migreras till en ny miljö och ni inte längre vill använda samma nyckel som i den gamla miljön, kan ni använda kommandot nocobase key-rotation för att ersätta applikationsnyckeln.
För att köra kommandot för nyckelrotation måste ni ange den gamla applikationens applikationsnyckel. Efter körning kommer en ny applikationsnyckel att genereras och sparas (Base64-kodad) i standardkatalogen.
För att rotera applikationsnyckeln för en underapplikation, lägg till parametern --app-name och ange underapplikationens name.