El cifrado transparente de datos (TDE) permite cifrar datos confidenciales tales

como números de tarjetas de crédito almacenados en tablas y espacios de tabla.

Los datos cifrados se descifran de forma transparente para una aplicación o un
usuario de base de datos que tenga acceso a los datos. TDE ayuda a proteger los
datos almacenados en medios en caso de sustracción de los medios de
almacenamiento o los archivos de datos. Oracle usa mecanismos de autenticación,
autorización y auditoría para proteger los datos de la base de datos pero no los
archivos de datos del sistema operativo donde se almacenan datos. Para proteger
estos archivos de datos, Oracle proporciona TDE. TDE cifra los datos confidenciales
almacenados en los archivos de datos. Para evitar descifrados no autorizados, TDE
almacena las claves de cifrado en un módulo de seguridad externo a la base de
datos.

Con Oracle, se pueden definir espacios de tabla nuevos como cifrados. La definición
de un espacio de tablas cifrado significa que los archivos de datos físicos creados
en el sistema operativo se cifrarán. Las tablas, índices y demás objetos definidos en
el espacio de tablas nuevo se cifrarán de forma predeterminada sin requisitos de
espacio de almacenamiento adicional. Los datos se cifran automáticamente cuando
se escriben en el disco y se descifran automáticamente cuando la aplicación accede
a ellos.

VENTAJAS DE UTILIZAR TDE:

 Como administrador de seguridad tendrá la tranquilidad de que los datos

confidenciales estén protegidos en caso de sustracción de los medios de
almacenamiento o de los archivos de datos.
 La implementación de TDE ayuda a abordar los aspectos de cumplimiento
reglamentario relacionados con la seguridad.
 No es necesario crear desencadenadores ni vistas para descifrar los datos
para una aplicación o usuario autorizados. Los datos de las tablas se
 descifran de forma transparente para la aplicación y el usuario de la base de
datos.
 No es necesario que las aplicaciones y usuarios de base de datos sepan que
los datos a los que acceden están almacenados en modo cifrado. Los datos
se descifran de forma transparente para las aplicaciones y usuarios de base
de datos.
 No hace falta modificar las aplicaciones para controlar los datos cifrados. La
base de datos administra el cifrado y descifrado de datos.
 Las operaciones de administración de claves están automatizadas. El
usuario o la aplicación no necesitan administrar las claves de cifrado.

CONFIGURACIÓN MANUAL DEL TDE

Oracle 12c

1. Cree el directorio keystore.

2. mkdir $ORACLE_HOME/admin/$ORACLE_SID/wallet

3. Modifique el archivo SQLNET.ORA si desea administrar la cartera de

cifrado.

La ubicación predeterminada de la cartera de cifrado es

$ORACLE_BASE/admin/<nombre_db_global>/wallet. Si desea permitir que
Oracle administre una cartera en la ubicación predeterminada, no necesita
establecer el parámetro ENCRYPTION_WALLET_LOCATION en el archivo
sqlnet.ora.

Para Windows

ENCRYPTION_WALLET_LOCATION=

(SOURCE=
 (METHOD=FILE) (METHOD_DATA=

(DIRECTORY=C:/oracle/admin/%ORACLE_SID%/wallet/)))

Para Linux

ENCRYPTION_WALLET_LOCATION=

(SOURCE=

(METHOD=FILE) (METHOD_DATA=

(DIRECTORY=/app/oracle/admin/$ORACLE_SID/wallet/)))

Compruebe el parámetro de inicialización COMPATIBLE para el número

correcto de versión. Debería ser 12.x

ORA> sqlplus /nolog SQL> connect /as sysdba Connected. SQL> select
instance_name,status,database_status from v$instance;
INSTANCE_NAME STATUS DATABASE_STATUS
---------------- ------------ -----------------
mcs1 OPEN ACTIVE
SQL> show parameter compatible NAME TYPE VALUE
------------------------------------ ----------- ------------------------------

compatible string 12.1.0.0.0

1. Cree el keystore.

2. ADMINISTER KEY MANAGEMENT CREATE KEYSTORE

'C:\oracle\admin\mcs1\wallet' IDENTIFIED BY "mcs1$admin";

3. --the ewallet.p12 file, which contains the keystore, appears in the keystore
location.
4. Abra el keystore basado en contraseña.

5. ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED

BY "mcs1$admin" CONTAINER=ALL;

6. -- check the status

7. SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM

V$ENCRYPTION_WALLET;

8. Haga una copia de seguridad de un software keystore basado en

contraseña.

9. ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE USING

'keystore_bkp' IDENTIFIED BY "mcs1$admin";

10. SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM

V$ENCRYPTION_WALLET;

11. Cree la clave principal de cifrado.

Cree una clave principal para la CBD y todas las PDB.

ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY

"mcs1$admin" WITH BACKUP USING 'masterkey_all_bkp'
CONTAINER=ALL;

SELECT
KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CR
EATOR_PDBNAME FROM V$ENCRYPTION_KEYS;

Exporte la clave principal.

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH

SECRET "mcs1.exp$admin" TO
 'C:\oracle\admin\mcs1\wallet\masterkey_cdb_exp.bkp' IDENTIFIED BY
"mcs1$admin";

12. Si lo desea, cree la contraseña principal para el contenedor actual. Puede

omitir este paso si ha completado el paso 7.

Base de datos de contenedor (CDB):

ALTER SESSION SET CONTAINER = CDB$ROOT;

SHOW CON_NAME SELECT SYS_CONTEXT('USERENV', 'CON_NAME')

FROM dual;

ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY

"mcs1$admin" WITH BACKUP USING 'masterkey_cdb_backup'
CONTAINER=CURRENT;

SELECT
KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CR
EATOR_PDBNAME FROM V$ENCRYPTION_KEYS;

--export master key

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH

SECRET "mcs1.exp$admin" TO
'C:\oracle\admin\mcs1\wallet\masterkey_cdb_exp.bkp' IDENTIFIED BY
"mcs1$admin";

Base de datos conectable (PDB): revpdb

ALTER SESSION SET CONTAINER = revpdb;

SHOW CON_NAME SELECT SYS_CONTEXT('USERENV', 'CON_NAME')

FROM dual;
 ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY
"mcs1$admin" WITH BACKUP USING 'masterkey_revpdb_backup'
CONTAINER=CURRENT;

SELECT
KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CR
EATOR_PDBNAME FROM V$ENCRYPTION_KEYS;

--export master key

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH

SECRET "mcs1.exp$admin" TO
'C:\oracle\admin\mcs1\wallet\masterkey_revpdb_exp.bkp' IDENTIFIED BY
"mcs1$admin";

Comprobar estado

SELECT * FROM V$ENCRYPTION_WALLET;

SELECT * FROM V$ENCRYPTION_KEYS;

SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM

V$ENCRYPTION_WALLET;

SELECT
KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CR
EATOR_PDBNAME FROM V$ENCRYPTION_KEYS;

13. Establezca el keystore local de inicio de sesión automático.

14. ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE

FROM KEYSTORE 'C:\oracle\admin\mcs1\wallet' IDENTIFIED BY
"mcs1$admin";

15. SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM

V$ENCRYPTION_WALLET;
16. --the cwallet.sso file appears in the keystore location. The ewallet.p12 file is
the password-based wallet. --Note:

17. --Do not remove the PKCS#12 wallet (ewallet.p12 file) after you create the
auto login keystore (.sso file).

18. --You must have the PKCS#12 wallet to regenerate or rekey the TDE
master encryption key in the future.

19. --By default, this file is located in the

$ORACLE_HOME/admin/ORACLE_SID/wallet directory.

20. Abra el keystore de inicio de sesión automático.

21. ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN

CONTAINER=ALL;

22. -- check the status

SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM

V$ENCRYPTION_WALLET;