使用EKM装置的TDE

Question

我们使用外部HSM设备来创建和存储密钥，并将其用于TDE。我们的审计师在问关于钥匙在哪里的问题。因此，很明显，密钥存储在外部HSM设备中。

在这个链接中，在步骤5下，

USE master ;  
GO  
CREATE ASYMMETRIC KEY ekm_login_key   
FROM PROVIDER [EKM_Prov]  
WITH ALGORITHM = RSA_512,  
PROVIDER_KEY_NAME = 'SQL_Server_Key' ;  
GO  

• 这是否也会在主DB中创建密钥的副本？
• 对于TDE，SQL Server需要多久与EKM设备联系一次？当从磁盘读取数据文件时，它是否需要与ekm设备进行实时联系？

Answer 1

这是否也会在主DB中创建密钥的副本？

根据文档的说法，情况并非如此。非对称密钥存储在您的EKM设备中。sys.asymmetric_keys中有一个“指针”记录，它提供从EKM检索密钥的信息，但这需要凭据和访问权限。

对于TDE，SQL Server需要多久与EKM设备联系一次？当从磁盘读取数据文件时，它是否需要与ekm设备进行实时联系？

在EKM设备中创建的非对称密钥用于保护存储在数据库启动页中的数据库加密密钥。当DB启动时，DEK将使用它受到保护的非对称密钥或证书解密，在您的示例中是EKM的非对称密钥。

DEK用于加密/解密磁盘上的数据，因此在启动数据库时只应与EKM联系一次，以解密DEK。

一旦解密，SQL Server就可以在从磁盘读取数据时使用DEK解密数据，而不必再次访问EKM。

有关更多信息，请参见加密层次

Answer 2

这是否也会在主DB中创建密钥的副本？

AFAIK，不。

对于TDE，SQL Server需要多久与EKM设备联系一次？当从磁盘读取数据文件时，它是否需要与ekm设备进行实时联系？

这取决于HSM，它们提供的驱动程序需要安装并加载到Server进程空间，但通常需要缓存一段时间。

Answer 3

这是否也会在主DB中创建密钥的副本？

它不创建密钥的副本，但它将密钥从HSM映射到主数据库，以便您可以使用该非对称密钥创建登录名，以便在凭据的帮助下连接HSM设备