Criptografia para banco de dados - Linha RM

A criptografia é uma técnica utilizada para proteger as informações sigilosas dos bancos de dados.

A seguir, veja o funcionamento do RM com a criptografia de arquivos de bancos de dados, nas páginas
referentes aos respectivos SGBDs.

Atenção!
Verifique o impacto no consumo de recursos que documentamos e a viabilidade para
implementar criptografia em seu SGBD.

TDE Oracle

Tempo aproximado para leitura: 2 minutos

Ir para o início dos metadados

O TDE (Transparent Data Encryption) para Oracle é uma ferramenta de criptografia de mídia do banco
de dados , disponível a partir da versão 10g Release. De acordo com a documentação disponibilizada
pela Oracle, o TDE performa a criptografia e "descriptografia" de I/O em tempo real dos dados e
arquivos de log. Ele utiliza uma chave para criptografia da database DEK (Database Encryption Key),
armazenada no registro de boot da database para disponibilidade durante a recuperação.

Esta ferramenta foi estudada e testada para verificar a viabilidade de seu uso no produto RM, para que
este esteja apto, caso o cliente queria atender algum item de gerenciamento/segurança, de dados como
a Lei Geral de Proteção de Dados (LGPD).

Ambiente Operacional
Em nossos testes de performance, utilizamos a criptografia dos table_spaces dos esquemas RM e
TOTVSAUDIT nas rotinas de recálculo do espelho do cartão, geração do espelho do ponto e conversão
da base de dados 'Exemplo' (disponível para download em nossa central de Download). Tais processos
foram repetidos na portabilidade descrita abaixo, bem como o método adotado para parametrização
e os tempos apurados nas execuções.

 Sistema Operacional Windows 10 Pro 64bits

 Processador Intel Core i5-7200U CPU 2.50GHz 2.71 GHz
 Memória RAM 16GB
 HD SSD

Os resultados coletados foram examinados por um método de análise de performance de software,

o AWR (Automatic Workload Repository)

 Instalação e configuração no Oracle 11G

 Instalação e configuração no Oracle 12c e 18c
 Testes comparativos
 Instalação e configuração do TDE no Oracle 11G
No cenário utilizado para testes, foi realizada a configuração a seguir :

Para utilização do TDE (Transparent Data Encrytion) no Oracle11G, não é necessário realizar nenhum
tipo de instalação adicional, apenas sua configuração e ativação para a base de dados, seguindo os
seguintes passos

 Criação da carteira

Adicionar o parâmetro WALLET_LOCATI ON no arquivo sqlnet.ora.

WALLET_LOCATION=
(SOURCE=(METHOD=FILE)(METHOD_DATA=
(DIRECTORY=C:\app\leonardo.costa\admin\orcl\wallet)))

Este parâmetro também pode ser usado para identificar o local da carteira.

 O comando a seguir cria e abre a carteira.

CONN bh-eng-vm04/ORCL AS SYSDBA

ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "myPassword";

 As carteiras devem ser reabertas após o reinício de uma instância e podem ser fechadas para
impedir o acesso ao dados criptografados.

ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "myPassword";

ALTER SYSTEM SET ENCRYPTION WALLET CLOSE;

 Criar a tablespaces

A instrução a seguir cria um espaço de tabela criptografado nomeando explicitamente o algoritmo de

criptografia 'AES256' na USI NG cláusula

CREATE TABLESPACE RM_DADOS

DATAFILE 'C:\app\leonardo.costa\admin\orcl\adump\RMDADOS1.DAT' SIZE 120M
AUTOEXTEND ON NEXT 10M
ENCRYPTION USING 'AES256'
DEFAULT STORAGE ( ENCRYPT );
 Comando para visualizar as tablespaces que utilizam encrypted na tabela que está ou não
criptografado

Por critério de segurança se carteira estiver fechada não será possível realizar o expdp:

Para mais informações sobre essa funcionalidade, favor consultar a página: https://oracle-
base.com/articles/11g/tablespace-encryption-11gr1#tablespace_creation
Testes comparativos do TDE no Oracle

Tempo aproximado para leitura: 4 minutos

Ir para o início dos metadados

Para realização dos testes comparativos utilizamos as 3 versões do Oracle atualmente homologadas
para o RM, sendo essas: 11g, 12c e 18c.

Resultados

Conversão da base de dados EXEMPLO da versão 12.1.22 para a versão 12.1.28:

Geração de Espelho de Ponto (PtoProcRelatEspelhoCartao)

Solicitação de recálculo da folha de ponto (PtoProcCalculo)

Testes com relatório AWR
Para os testes utilizamos relatório Automatic Workload Repository (AWR), para versão do Oracle
11g (11.2.0.1.0) ao qual apuramos os valores de uso em estatísticas de memória, cache e estatisticas
de conjunto compartilhado com e sem o recurso de TDE habilitado, abaixo estão os quadros para
comparação:

Estatísticas de memória
COM
TDE SEM TDE

Tamanhos de Cache
COM
TDE SEM TDE
 Estatísticas de conjunto compartilhado
COM
TDE SEM TDE
Em nossos testes concluímos que a utilização do TDE apresentou um aumento no uso de memória
SGA e PGA, aumento em processamento CPU e redução de I/O. Contudo, houve um ganho de
performance em relação aos tempos nas ações de recálculo do espelho do ponto, geração do
relatório do espelho do ponto e conversão da base de dados pelo Atualizador.

Observação:

Precisamos reforçar que este ganho de performance foi mapeado somente nestes itens aqui citados,
cabe ao cliente criar seu laboratório (TDE) utilizando a documentação da Oracle e coletar os tempos
de suas rotinas com e sem o recurso antes de aplica-lo em produção.

Orientações e mais detalhes sobre o TDE estão detalhadas no Help Center da Oracle:

https://docs.oracle.com/database/121/ASOAG/introduction-to-transparent-data-
encryption.htm#ASOAG10117

Documentação da Oracle com mais dúvidas e demais detalhes sobre o relatório AWR estão contidos
no Help Center da Oracle:

https://docs.oracle.com/cd/E11882_01/server.112/e41573/autostat.htm#PFGRF027

Não percebemos qualquer incompatibilidade na utilização do TDE com as bases de dados RM.