Tài liệu này được dịch bởi AI. Đối với bất kỳ thông tin không chính xác nào, vui lòng tham khảo phiên bản tiếng Anh
Mã hóa
Giới thiệu
Một số dữ liệu kinh doanh nhạy cảm, như số điện thoại khách hàng, địa chỉ email, số thẻ, v.v., có thể được mã hóa. Sau khi mã hóa, dữ liệu sẽ được lưu trữ dưới dạng văn bản mã hóa (ciphertext) vào cơ sở dữ liệu.
Phương thức mã hóa
Plugin sẽ tự động tạo một khóa ứng dụng, khóa này được lưu trữ trong thư mục /storage/apps/main/encryption-field-keys.
Tên tệp khóa ứng dụng là ID khóa, với phần mở rộng là .key. Vui lòng không tự ý thay đổi tên tệp.
Vui lòng bảo quản cẩn thận tệp khóa ứng dụng. Nếu bạn làm mất tệp khóa ứng dụng, dữ liệu đã mã hóa sẽ không thể được giải mã.
Nếu plugin được kích hoạt bởi một ứng dụng con, thư mục lưu trữ khóa mặc định là /storage/apps/${tên_ứng_dụng_con}/encryption-field-keys.
Cách thức hoạt động
Sử dụng phương pháp mã hóa phong bì (Envelope Encryption).
Quy trình tạo khóa
- Khi tạo trường mã hóa lần đầu tiên, hệ thống sẽ tự động tạo một
khóa ứng dụng32 bit và lưu trữ nó dưới dạng mã hóa Base64 vào thư mục lưu trữ mặc định. - Mỗi khi tạo một trường mã hóa mới, một
khóa trường32 bit ngẫu nhiên sẽ được tạo cho trường đó. Sau đó, nó được mã hóa bằngkhóa ứng dụngvà mộtvector mã hóa trường16 bit được tạo ngẫu nhiên (thuật toán mã hóaAES), rồi lưu vào trườngoptionscủa bảngfields.
Quy trình mã hóa trường
- Mỗi khi ghi dữ liệu vào một trường mã hóa, hệ thống sẽ lấy
khóa trườngvàvector mã hóa trườngđã mã hóa từ trườngoptionscủa bảngfields. - Giải mã
khóa trườngđã mã hóa bằng cách sử dụngkhóa ứng dụngvàvector mã hóa trường. Sau đó, dữ liệu được mã hóa bằngkhóa trườngvà mộtvector mã hóa dữ liệu16 bit được tạo ngẫu nhiên (thuật toán mã hóaAES). - Sử dụng
khóa trườngđã giải mã để ký dữ liệu (thuật toán tóm tắtHMAC-SHA256) và chuyển đổi thành chuỗi mã hóa Base64 (chữ ký dữ liệuđược tạo ra sau đó sẽ được sử dụng để truy xuất dữ liệu). - Nối nhị phân
vector mã hóa dữ liệu16 bit vàvăn bản mã hóa dữ liệuđã mã hóa, rồi chuyển đổi thành chuỗi mã hóa Base64. - Nối chuỗi mã hóa Base64 của
chữ ký dữ liệuvà chuỗi mã hóa Base64 củavăn bản mã hóa dữ liệuđã ghép nối, phân tách bằng dấu chấm.. - Lưu chuỗi cuối cùng đã ghép nối vào cơ sở dữ liệu.
Biến môi trường
Nếu bạn muốn chỉ định một khóa ứng dụng tùy chỉnh, bạn có thể sử dụng biến môi trường ENCRYPTION_FIELD_KEY_PATH. Plugin sẽ tải tệp tại đường dẫn đó làm khóa ứng dụng.
Yêu cầu định dạng tệp khóa ứng dụng:
- Phần mở rộng của tệp phải là
.key. - Tên tệp sẽ được sử dụng làm ID khóa; nên sử dụng UUID để đảm bảo tính duy nhất.
- Nội dung tệp phải là dữ liệu nhị phân 32 bit được mã hóa Base64.
Cấu hình trường
Ảnh hưởng đến việc lọc sau khi mã hóa
Các trường đã mã hóa chỉ hỗ trợ các điều kiện lọc: bằng, không bằng, tồn tại, không tồn tại.
Quy trình lọc dữ liệu:
- Lấy
khóa trườngcủa trường mã hóa và giải mã nó bằngkhóa ứng dụng. - Sử dụng
khóa trườngđể ký văn bản tìm kiếm do người dùng nhập (thuật toán tóm tắtHMAC-SHA256). - Nối chữ ký với dấu phân cách
.và thực hiện truy vấn khớp tiền tố trên trường mã hóa trong cơ sở dữ liệu.
Xoay vòng khóa
Trước khi sử dụng lệnh xoay vòng khóa nocobase key-rotation, hãy đảm bảo rằng ứng dụng đã tải plugin này.
Khi di chuyển ứng dụng sang môi trường mới, nếu bạn không muốn tiếp tục sử dụng cùng một khóa với môi trường cũ, bạn có thể sử dụng lệnh nocobase key-rotation để thay thế khóa ứng dụng.
Để chạy lệnh xoay vòng khóa, bạn cần chỉ định khóa ứng dụng của môi trường cũ. Sau khi lệnh được thực thi, một khóa ứng dụng mới sẽ được tạo và thay thế khóa cũ. Khóa ứng dụng mới sẽ được lưu trữ (dưới dạng mã hóa Base64) vào thư mục mặc định.
Nếu bạn muốn thay thế khóa ứng dụng của một ứng dụng con, bạn cần thêm tham số --app-name để chỉ định tên của ứng dụng con.