{"id":10467,"date":"2024-03-13T10:30:00","date_gmt":"2024-03-13T09:30:00","guid":{"rendered":"https:\/\/blog.capdata.fr\/?p=10467"},"modified":"2024-02-28T17:35:48","modified_gmt":"2024-02-28T16:35:48","slug":"le-chiffrement-oracle-native-network-encryption","status":"publish","type":"post","link":"https:\/\/blog.capdata.fr\/index.php\/le-chiffrement-oracle-native-network-encryption\/","title":{"rendered":"Le chiffrement Oracle : native network encryption"},"content":{"rendered":"\"twitter\"<\/a>\"linkedin\"<\/a>\"mail\"<\/a>

\"\"<\/p>\n

 <\/p>\n

Pour continuer dans la s\u00e9rie “chiffrement et bases de donn\u00e9es”, nous allons \u00e9voquer le sujet “native network encryption” et “data integrity” dans le cadre d’une connexion client \/serveur sur une base de donn\u00e9es Oracle 19c.<\/p>\n

 <\/p>\n

Pr\u00e9sentation<\/h2>\n

 <\/p>\n

Le m\u00e9canisme consiste \u00e0 chiffrer le trafic r\u00e9seau entre un client Oracle et la base cible distante. Pour cela, nous allons tester, via des traces, ce que nous pouvons relever dans les informations SQLNet entre le client et le serveur de bases de donn\u00e9es.<\/p>\n

Attention, point important \u00e0 remonter, cette fonctionnalit\u00e9 est accessible pour toutes les \u00e9ditions Oracle<\/strong> et ce pour toutes versions. C’est plut\u00f4t une bonne nouvelle quand on conna\u00eet le co\u00fbt d’une licence Entreprise Edition avec “Advanced Security”.<\/p>\n

Consulter l’information sur ce lien<\/a><\/p>\n

\"\"<\/p>\n

 <\/p>\n

Les algorithmes de chiffrement<\/h3>\n

Pour proc\u00e9der au chiffrement client\/server, Oracle travaille sur une liste d’algorithmes que l’on peut utiliser.<\/p>\n

Voici une liste, extraite du site Oracle, pouvant \u00eatre prise en charge.<\/p>\n

 <\/p>\n

\"\"<\/p>\n

Depuis la version 19c, seuls les algorithmes AES (Advanced Encryption Standard) ont \u00e9t\u00e9 valid\u00e9s. On peut ajouter \u00e0 cette liste AES192.<\/p>\n

Pour utiliser les nouveaux algorithmes AES, Oracle recommande l’installation d’un patch de prise en charge \u00e0 prendre en compte dans la note 2118136.2<\/a>. Ceci pour les anciennes versions Oracle.<\/p>\n

L’algorithme 3DES peut \u00e9galement \u00eatre choisi, mais attention aux soucis de performances r\u00e9cemment relev\u00e9s par Oracle. A n’utiliser qu’avec des syst\u00e8mes tr\u00e8s performants en CPU.<\/p>\n

 <\/p>\n

Data Integrity<\/h3>\n

Il faudra penser \u00e0 conserver l\u2019int\u00e9grit\u00e9 des donn\u00e9es, en effectuant un \u00ab checksum \u00bb sur celles-ci.
\nOracle utilise pour cela les algorithmes SHA pour proc\u00e9der: SHA1, SHA256, SHA384, and SHA512.<\/p>\n

Attention, MD5 est encore compatible mais plus recommand\u00e9.<\/p>\n

 <\/p>\n

Performances<\/h3>\n

Voici quelques tests de performances effectu\u00e9s permettant d\u2019avoir un retour sur les temps de r\u00e9ponses des
\nconnexions passant \u00e0 travers le chiffrement. Ces tests ont \u00e9t\u00e9 faits sur certains algorithmes qui sont d\u00e9pr\u00e9ci\u00e9s aujourd’hui.<\/p>\n

Un exemple, trouv\u00e9 sur le net, est le suivant :<\/p>\n

“on interroge 100 fois la table des objets d\u2019une base (dba_objects).
\nOn rel\u00e8vera les temps \u00e9coul\u00e9s pour chacune de ces op\u00e9rations.”
\nChacun des tests est ex\u00e9cut\u00e9 3 fois sur les diff\u00e9rents algorithmes utilis\u00e9s avec chacun des checksums.
\nCe qui donne le tableau suivant<\/p>\n

\"\"<\/p>\n

 <\/p>\n

On consid\u00e8re une base 100% une connexion sans param\u00e8tres de chiffrement d\u00e9fini.<\/p>\n

 <\/p>\n

Configuration<\/h2>\n

 <\/p>\n

Afin de mettre en \u0153uvre le chiffrement, nous devrons passer des param\u00e8tres dans le fichier “sqlnet.ora<\/span>“
\ncot\u00e9 client, et cot\u00e9 serveur.<\/p>\n

Les param\u00e8tres qui seront \u00e0 configurer cot\u00e9s client sont:<\/p>\n

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT<\/em><\/strong>
\nSQLNET.CRYPTO_SEED<\/em><\/strong>
\nSQLNET.ENCRYPTION_TYPES_CLIENT<\/em><\/strong>
\nSQLNET.CRYPTO_CHECKSUM_CLIENT<\/em><\/strong>
\nSQLNET.ENCRYPTION_CLIENT<\/em><\/strong><\/p>\n

 <\/p>\n

Au vu des r\u00e9sultats sur les performances et des recommandations Oracle, nous utiliserons, pour le test,
\nles algorithmes AES256<\/strong> pour le chiffrement et SHA384<\/strong> pour le checksum.<\/p>\n

A noter, que l’on pourra d\u00e9finir une cl\u00e9 “crypto_seed<\/span><\/strong>” pour la connexion, en choisissant une valeur de
\n10 \u00e0 70 caract\u00e8res alphanum\u00e9riques.
\nPour la partie serveur, les param\u00e8tres \u00e0 d\u00e9finir sont les suivants :<\/p>\n

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER<\/strong><\/em>
\nSQLNET.CRYPTO_SEED<\/strong><\/em>
\nSQLNET.ENCRYPTION_TYPES_SERVER<\/strong><\/em>
\nSQLNET.CRYPTO_CHECKSUM_SERVER<\/strong><\/em>
\nSQLNET.ENCRYPTION_SERVER<\/strong><\/em><\/p>\n

 <\/p>\n

Les algorithmes devront \u00eatre identiques<\/strong> (encryption<\/strong> et crypto_checksum<\/strong>) entre le client et le serveur<\/strong>
\npour que la communication se fasse.<\/p>\n

Les 4 valeurs que l’on peut choisir pour le param\u00e8tre SQLNET.ENCRYPTION cot\u00e9 client et serveur sont les suivantes :<\/p>\n

REQUESTED : le chiffrement est demand\u00e9 mais si ce n'est pas possible, le flux client\/serveur se passera via trafic non chiffr\u00e9.\r\nREJECTED : Pas de chiffrement demand\u00e9.\r\nREQUIRED : seul le trafic avec chiffrement sera accept\u00e9.\r\nACCEPTED : le client ou le serveur accepte toute connexion chiffr\u00e9e ou non chiffr\u00e9e. Valeur par d\u00e9faut si \"native network encryption\" n'est pas activ\u00e9<\/pre>\n
 <\/p>\n
Le tableau suivant donnera la matrice de compatibilit\u00e9 des diff\u00e9rents modes de n\u00e9gociations utilis\u00e9s
\npour une connexion.<\/p>\n
Il est possible, selon les param\u00e8tres SQLNET.ENCRYPTION<\/span> et SQLNET.CRYPTO_CHECKSUM <\/span>choisis d’activer ou non le chiffrement.<\/p>\n
 <\/p>\n
\"\"<\/p>\n
Ce tableau est extrait du site Oracle sur ce lien<\/a><\/p>\n
Lorsque la connexion \u00e9choue, le client re\u00e7oit une erreur ORA-12650.
\nC’est le cas, si nous sommes en REJECTED cot\u00e9 client et REQUIRED cot\u00e9 serveur, par exemple.<\/p>\n
 <\/p>\n
<\/code><\/pre>\n
<\/h4>\n
Test avec chiffrement actif<\/h4>\n
 <\/p>\n
Nous testons dans un premier temps une connexion avec chiffrement actif.
\nAussi, nous choisissons, cot\u00e9 serveur le mode ACCEPTED.<\/p>\n
Puis cot\u00e9 client REQUESTED, ceci pour
\nl’encryption et le checksum.<\/p>\n
En r\u00e9sum\u00e9, voici les param\u00e8tres que nous d\u00e9finirons dans le sqlnet.ora cot\u00e9 client :<\/p>\n
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT= (SHA384)<\/strong><\/span>
\nSQLNET.CRYPTO_SEED = ‘”i5rrruweotcadsfdsafjkdsfqp5f201p45mxskdlfdasf”‘<\/strong><\/span>
\nSQLNET.ENCRYPTION_TYPES_CLIENT= (AES256)<\/strong><\/span>
\nSQLNET.CRYPTO_CHECKSUM_CLIENT = requested<\/strong><\/span>
\nSQLNET.ENCRYPTION_CLIENT = requested<\/strong><\/span><\/p>\n
et le sqlnet.ora cot\u00e9 serveur :<\/p>\n
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER= (SHA384)<\/strong><\/span>
\nSQLNET.CRYPTO_SEED = ‘”4fhfguweotcadsfdsafjkdsfqp5f201p45mxskdlfdasf”‘<\/strong><\/span>
\nSQLNET.ENCRYPTION_TYPES_SERVER= (AES256)<\/strong><\/span>
\nSQLNET.CRYPTO_CHECKSUM_SERVER = accepted<\/strong><\/span>
\nSQLNET.ENCRYPTION_SERVER = accepted<\/strong><\/span><\/p>\n
 <\/p>\n
Les op\u00e9rations se d\u00e9roulent avec les caract\u00e9ristiques suivantes<\/p>\n