СРАВНИТЕЛЬНЫЙ АНАЛИЗ ИСПОЛЬЗОВАНИЯ МЕТОДОВ ШИФРОВАНИЯ ДАННЫХ СУБД MS SQL SERVER

Согласно статистике, в последние годы количество утечек информации в при работе с данными растет, при этом на 2018 год более тридцати процентов из них приходятся на внешних нарушителей и более шестидесяти выполнено с участием сотрудников организации.

Шифрование — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней. Главным образом, шифрование служит задачей соблюдения конфиденциальности передаваемой информации. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного преобразования из совокупности возможных для данного алгоритма. СУБД SQL Server поддерживает следующие механизмы шифрования: шифрование паролем, асимметричные ключи, симметричные ключи и сертификаты.

Сертификат открытого ключа, или просто сертификат, представляет собой подписанную цифровой подписью инструкцию, которая связывает значение открытого ключа с идентификатором пользователя, устройства или службы, имеющей соответствующий закрытый ключ.

Сертификаты содержат следующие сведения: открытый ключ субъекта, идентификационные данные субъекта, срок действия сертификата, идентификационные данные поставщика сертификата, цифровая подпись поставщика.

Асимметричный ключ состоит из закрытого ключа и соответствующего открытого ключа. Каждый из этих ключей позволяет дешифровать данные, зашифрованные другим ключом. На выполнение асимметричных операций шифрования и дешифрования требуется сравнительно много ресурсов, но они обеспечивают более надежную защиту, чем симметричное шифрование. Асимметричный ключ можно использовать для шифрования симметричного ключа перед его сохранением в базе данных.

Симметричный ключ — это ключ, используемый и для шифрования, и для дешифрования данных. Данные при использовании симметричного ключа шифруются и дешифруются быстро, и он вполне подходит для повседневной защиты конфиденциальных данных, хранящихся в базе данных.

В некоторых методах шифрования также используются различные алгоритмы.

Алгоритмы шифрования определяют преобразования данных, исключающие возможность легкого восстановления исходного текста неавторизированными пользователями. SQL Server позволяет администраторам и разработчикам выбирать из нескольких алгоритмов, в том числе DES, Triple DES, TRIPLE_DES_3KEY, RC2, RC4, RC4 со 128-разрядным ключом, DESX, AES со 128-разрядным ключом, AES со 192-разрядным ключом и AES с 256-разрядным ключом.

Начиная с версии SQL Server 2016 (13.x) все алгоритмы, отличные от AES_128, AES_192 и AES_256, являются нерекомендуемыми.

В ходе работы была выработана методика сравнительного анализа использования различных методов при шифровании данных, в результате которой у всех методов шифрования сравнивались такие параметры, как тип шифруемых данных, объём шифруемых данных и время работы.

В результате было получено, что все виды шифрования работают только со следующими типами данных: char, varchar, binary, varbinary, nchar, nvarchar. Однако с типами данных char и binary результат расшифровки всегда null в независимости от объема шифруемых данных.

Экспериментальным путем были выявлены границы корректной работы методов шифрования для всех алгоритмов шифрования и типов данных (таблица 1, таблица 2).

Также в результате исследования было выявлено, что при расшифровании данных следующими аглоритмами: Symmetric (AES_192), Symmetric (AES_128), Asymmetric (RSA_4096), Asymmetric (RSA _3072), Asymmetric (RSA _2048) и Certificate расшифрованные данные отображаются не корректно.

Для оценки быстродействия работы методов шифрования для всех алгоритмов использовались таблицы с 1000 записями с максимально возможным объемом данных, как показано в таблице 3 и в таблице 4. В результате было получено, что при использовании симметричного шифрования все алгоритмы работают примерно одинаково, кроме шифрования типа данных nvarchar симметричным ключом с алгоритмами AES_192 и AES_128.  Их скорость работы больше примерно в 2 раза (Рисунок 1). Самым быстрым методом шифрования оказался симметричный ключ с алгоритмами AES_128, AES_192 и AES_256.  Самым медленным методом шифрования является ассиметричный ключ с использованием алгоритма RSA_4096. По результатам сводной таблицы 3 видно, что время работы метода шифрования ассиметричным ключом пропорционально объему максимально возможному объему шифруемых данных. При шифровании симметричным ключом алгоритмами AES_256 и AES_192 шифрование завершается ошибкой OutOfMemoryException. Тем самым эти алгоритмы требуют больше памяти, чем остальные методы шифрования при работе с 10000 записями.

При сравнении с шифрованием 1000 записей выявлена прямая пропорциональность в зависимости от объема данных (Рисунок 2).

Таким образом, при шифровании симметричным ключом типа данных nvarchar не рекомендуется использовать алгоритмы AES_192 и AES_128, так как их скорость выполнения значительно выше, чем у других алгоритмов. Для выполнения быстрого шифрования небольшого количества записей лучше использовать симметричных ключ и любой его алгоритм. Самым медленным методом оказался асимметричный ключ с алгоритмом RSA_4096. Однако при увеличении объема шифруемой информации до 10000 записей не рекомендуется использовать шифрование симметричным ключом алгоритмами AES_256 и AES_192 из-за появления ошибки OutOfMemoryException.

Рисунок 1. Диаграмма зависимости времени выполнения шифрования от типа данных и метода шифрования

Рисунок 2. График зависимости времени выполнения шифрования от количества данных

 Таблица 1.

Максимальный объем шифруемой информации

Таблица 2.

Максимальный объем шифруемой информации

Таблица 3.

Время шифрования 1000 записей

Таблица 4.

Время шифрования 1000 записей

Таблица 5.

Время шифрования 10000 записей

Таблица 6.

Время шифрования 10000 записей

Список литературы:

1. Международный научно-практический журнал программные продукты и системы [электронный ресурс] — Режим доступа. — URL: http://www.swsys.ru/index.php?page=article&id=4175 (дата обращения 12.04.2019)
2. Студенческая библиотека онлайн [электронный ресурс] — Режим доступа. — URL: https://studbooks.net/2156598/informatika/shifrovanie_informatsii_vozmozhnosti_vidy (дата обращения 17.04.2019)
3. Microsoft Документация по SQL [электронный ресурс] — Режим доступа. — URL: https://docs.microsoft.com/ru-ru/sql/relational-databases/security/encryption/encryption-hierarchy?view=sql-server-2017 (дата обращения 12.05.2019)
4. Microsoft Документация по SQL [электронный ресурс] — Режим доступа. — URL: https://docs.microsoft.com/ru-ru/sql/relational-databases/security/encryption/choose-an-encryption-algorithm?view=sqlallproducts-allversions (дата обращения 17.05.2019)
5. Technet microsoft [электронный ресурс] — Режим доступа. — URL: https://technet.microsoft.com/ru-ru/ms189586(v=sql.15) (дата обращения 24.04.2019)