8.6.2 Configuring MySQL Enterprise Encryption

8.6.2 MySQL Enterprise Encryption 구성

MySQL Enterprise Encryption을 사용하면, 키 길이를 요구 사항에 대해 충분한 보안을 제공하는 수준으로 제한하면서도 리소스 사용과 균형을 맞출 수 있습니다. 또한 component_enterprise_encryption 컴포넌트가 제공하는 함수들을 구성하여 이전의 openssl_udf 공유 라이브러리 함수들이 생성한 콘텐츠에 대한 복호화 및 검증을 지원할 수 있습니다.

레거시 function에 대한 component function의 복호화 지원

기본적으로, component_enterprise_encryption 컴포넌트가 제공하는 함수들은 이전 릴리스에서 openssl_udf 공유 라이브러리가 제공하던 레거시 함수들에 의해 생성된 암호화된 텍스트를 복호화하거나 서명을 검증하지 않습니다. 해당 컴포넌트 함수들은 암호화된 텍스트가 RSAES-OAEP 패딩 스킴을 사용한다고 가정하고, 서명은 RSASSA-PSS 시그니처 스킴을 사용한다고 가정합니다. 그러나 레거시 함수들에 의해 생성된 암호화된 텍스트는 RSAES-PKCS1-v1_5 패딩 스킴을 사용하고, 레거시 함수들에 의해 생성된 서명은 RSASSA-PKCS1-v1_5 시그니처 스킴을 사용합니다.

컴포넌트 함수들이 레거시 함수에 의해 생성된 콘텐츠를 지원하도록 하려면, enterprise_encryption.rsa_support_legacy_padding 시스템 변수를 ON으로 설정하십시오. 이 변수는 컴포넌트가 설치되면 사용할 수 있습니다. 이를 ON으로 설정하면, 컴포넌트 함수들은 먼저 자체 정상 스킴을 사용한다고 가정하고 콘텐츠를 복호화하거나 검증하려고 시도합니다. 이것이 동작하지 않으면, 오래된 함수들이 사용하던 스킴을 사용한다고 가정하고도 콘텐츠를 복호화하거나 검증하려고 시도합니다. 이 동작은 복호화하거나 전혀 검증할 수 없는 콘텐츠를 처리하는 데 걸리는 시간이 늘어나기 때문에 기본값이 아닙니다. 오래된 함수가 생성한 콘텐츠를 처리하지 않는 경우, 시스템 변수를 기본값인 OFF로 두십시오.

키 길이 제한

MySQL Enterprise Encryption의 키 생성 함수들에 필요한 CPU 리소스량은 키 길이가 증가함에 따라 증가합니다. 일부 설치에서는, 애플리케이션이 지나치게 긴 키를 자주 생성하는 경우 CPU 사용량이 허용할 수 없는 수준이 될 수 있습니다.

component_enterprise_encryption 컴포넌트가 제공하는 함수들은 RSA 키에 대해 최소 키 길이가 2048비트로, 최소 키 길이에 대한 현재 권장 사례와 일치합니다. enterprise_encryption.maximum_rsa_key_size 시스템 변수가 최대 키 크기를 지정합니다.