เอกสารนี้แปลโดย AI หากมีข้อมูลที่ไม่ถูกต้อง โปรดดูเวอร์ชันภาษาอังกฤษ
การเข้ารหัส
บทนำ
ข้อมูลธุรกิจที่เป็นส่วนตัวบางอย่าง เช่น เบอร์โทรศัพท์ลูกค้า, ที่อยู่อีเมล, หมายเลขบัตรต่างๆ สามารถเข้ารหัสได้ครับ/ค่ะ หลังจากเข้ารหัสแล้ว ข้อมูลจะถูกจัดเก็บในฐานข้อมูลในรูปแบบของข้อความที่เข้ารหัส (ciphertext)
วิธีการเข้ารหัส
ปลั๊กอินจะสร้างคีย์แอปพลิเคชัน (application key) โดยอัตโนมัติ ซึ่งจะถูกจัดเก็บไว้ในไดเรกทอรี /storage/apps/main/encryption-field-keys ครับ/ค่ะ
ไฟล์คีย์แอปพลิเคชันจะมีชื่อเป็น ID ของคีย์ และมีนามสกุลไฟล์เป็น .key กรุณาอย่าเปลี่ยนชื่อไฟล์โดยไม่จำเป็นครับ/ค่ะ
โปรดเก็บไฟล์คีย์แอปพลิเคชันไว้ให้ปลอดภัย หากไฟล์คีย์แอปพลิเคชันสูญหาย ข้อมูลที่เข้ารหัสจะไม่สามารถถอดรหัสได้ครับ/ค่ะ
หากเป็นแอปพลิเคชันย่อยที่เปิดใช้งานปลั๊กอินนี้ ไดเรกทอรีเริ่มต้นสำหรับการจัดเก็บคีย์คือ /storage/apps/${ชื่อแอปพลิเคชันย่อย}/encryption-field-keys ครับ/ค่ะ
หลักการทำงาน
ใช้วิธีการเข้ารหัสแบบ Envelope Encryption ครับ/ค่ะ
ขั้นตอนการสร้างคีย์
- เมื่อสร้างฟิลด์ที่เข้ารหัสเป็นครั้งแรก ระบบจะสร้าง
คีย์แอปพลิเคชันขนาด 32 บิตโดยอัตโนมัติ และบันทึกในรูปแบบ Base64 ไปยังไดเรกทอรีจัดเก็บเริ่มต้นครับ/ค่ะ - ทุกครั้งที่สร้างฟิลด์ที่เข้ารหัสใหม่ จะมีการสร้าง
คีย์ฟิลด์(field key) แบบสุ่มขนาด 32 บิตสำหรับฟิลด์นั้น จากนั้นจะใช้คีย์แอปพลิเคชันและเวกเตอร์การเข้ารหัสฟิลด์(field encryption vector) ขนาด 16 บิตที่สร้างขึ้นแบบสุ่ม เพื่อเข้ารหัสคีย์ฟิลด์นั้น (ด้วยอัลกอริทึมการเข้ารหัสAES) แล้วบันทึกไว้ในฟิลด์optionsของตารางfieldsครับ/ค่ะ
ขั้นตอนการเข้ารหัสฟิลด์
- ทุกครั้งที่เขียนข้อมูลลงในฟิลด์ที่เข้ารหัส ระบบจะดึง
คีย์ฟิลด์ที่เข้ารหัสและเวกเตอร์การเข้ารหัสฟิลด์จากฟิลด์optionsของตารางfieldsก่อนครับ/ค่ะ - ใช้
คีย์แอปพลิเคชันและเวกเตอร์การเข้ารหัสฟิลด์เพื่อถอดรหัสคีย์ฟิลด์ที่ถูกเข้ารหัสไว้ จากนั้นใช้คีย์ฟิลด์และเวกเตอร์การเข้ารหัสข้อมูล(data encryption vector) ขนาด 16 บิตที่สร้างขึ้นแบบสุ่ม เพื่อเข้ารหัสข้อมูล (ด้วยอัลกอริทึมการเข้ารหัสAES) ครับ/ค่ะ - ใช้
คีย์ฟิลด์ที่ถอดรหัสแล้วลงนามข้อมูล (ด้วยอัลกอริทึมแฮชHMAC-SHA256) แล้วแปลงเป็นสตริงด้วยการเข้ารหัส Base64 (โดยลายเซ็นข้อมูล(data signature) ที่สร้างขึ้นนี้จะใช้สำหรับการค้นหาข้อมูลในภายหลัง) ครับ/ค่ะ - นำ
เวกเตอร์การเข้ารหัสข้อมูลขนาด 16 บิตและข้อความที่เข้ารหัส(ciphertext) มาต่อกันแบบไบนารี แล้วแปลงเป็นสตริงด้วยการเข้ารหัส Base64 ครับ/ค่ะ - นำสตริง
ลายเซ็นข้อมูลที่เข้ารหัส Base64 และสตริงข้อความที่เข้ารหัสที่ต่อกันแล้ว มาต่อกันอีกครั้งโดยคั่นด้วยเครื่องหมาย.ครับ/ค่ะ - บันทึกสตริงที่ต่อกันเสร็จสมบูรณ์ลงในฐานข้อมูลครับ/ค่ะ
ตัวแปรสภาพแวดล้อม
หากต้องการระบุคีย์แอปพลิเคชันเอง สามารถใช้ตัวแปรสภาพแวดล้อม ENCRYPTION_FIELD_KEY_PATH ได้ครับ/ค่ะ ปลั๊กอินจะโหลดไฟล์จากพาธที่ระบุนี้เพื่อใช้เป็นคีย์แอปพลิเคชัน
ข้อกำหนดสำหรับรูปแบบไฟล์คีย์แอปพลิเคชัน:
- นามสกุลไฟล์ต้องเป็น
.keyครับ/ค่ะ - ชื่อไฟล์จะถูกใช้เป็น Key ID ควรใช้ UUID เพื่อให้แน่ใจว่าเป็นค่าที่ไม่ซ้ำกันครับ/ค่ะ
- เนื้อหาไฟล์ต้องเป็นข้อมูลไบนารีขนาด 32 บิตที่เข้ารหัส Base64 ครับ/ค่ะ
การตั้งค่าฟิลด์
ผลกระทบต่อการกรองข้อมูลหลังจากเข้ารหัส
ฟิลด์ที่เข้ารหัสแล้วจะรองรับการกรองข้อมูลเฉพาะเงื่อนไขต่อไปนี้เท่านั้น: เท่ากับ, ไม่เท่ากับ, มีอยู่, ไม่มีอยู่ ครับ/ค่ะ
วิธีการกรองข้อมูล:
- ดึง
คีย์ฟิลด์ของฟิลด์ที่เข้ารหัส แล้วใช้คีย์แอปพลิเคชันถอดรหัสคีย์ฟิลด์ครับ/ค่ะ - ใช้
คีย์ฟิลด์ลงนามข้อความค้นหาที่ผู้ใช้ป้อน (ด้วยอัลกอริทึมแฮชHMAC-SHA256) ครับ/ค่ะ - นำข้อความค้นหาที่ลงนามแล้วมาต่อกับตัวคั่น
.แล้วทำการค้นหาแบบ Prefix Match ในฐานข้อมูลสำหรับฟิลด์ที่เข้ารหัสครับ/ค่ะ
การหมุนเวียนคีย์
ก่อนใช้คำสั่ง nocobase key-rotation สำหรับการหมุนเวียนคีย์ โปรดตรวจสอบให้แน่ใจว่าแอปพลิเคชันได้โหลดปลั๊กอินนี้แล้วครับ/ค่ะ
เมื่อย้ายแอปพลิเคชันไปยังสภาพแวดล้อมใหม่ หากไม่ต้องการใช้คีย์แอปพลิเคชันตัวเดิมที่ใช้ในสภาพแวดล้อมเก่า สามารถใช้คำสั่ง nocobase key-rotation เพื่อเปลี่ยนคีย์แอปพลิเคชันได้ครับ/ค่ะ
การรันคำสั่งหมุนเวียนคีย์จำเป็นต้องระบุคีย์แอปพลิเคชันของสภาพแวดล้อมเก่า หลังจากรันคำสั่งแล้ว จะมีการสร้างคีย์แอปพลิเคชันใหม่ขึ้นมา และจะถูกจัดเก็บในรูปแบบ Base64 ไปยังไดเรกทอรีจัดเก็บเริ่มต้น เพื่อใช้แทนคีย์เก่าครับ/ค่ะ
หากเป็นการเปลี่ยนคีย์แอปพลิเคชันของแอปพลิเคชันย่อย จำเป็นต้องเพิ่มพารามิเตอร์ --app-name เพื่อระบุ name ของแอปพลิเคชันย่อยครับ/ค่ะ