この問題に対するOracleの組み込みソリューションは暗号化ではなく、データベースボールトまたは仮想プライベートデータベースを使用してDBAまたは他のユーザーにデータが表示されないようにするアクセス制御と、保存データ(OS /ファイル)を暗号化する透過データ暗号化です。レベルの暗号化)。これにより、DBAがデータを見ることができなくなるだけでなく、データを変更したり削除したりすることもできなくなります。
とにかくデータ値を暗号化する場合は、すべての暗号化/復号化とキー管理を外部的に処理する必要があります。 DBAが暗号化キーにアクセスできないデータベースから。それがどのように機能するかは、アプリケーションの設計とプログラミング言語の選択によって異なります。堅牢な暗号化およびキー管理アーキテクチャの構築はではないことに注意してください。 ささいな運動...
PL/SQLソースコードのラッピングは難読化にすぎないことにも注意してください。 暗号化ではなくコードの。 簡単に 任意の数の既存のWebサイトまたは内部ストアドプロシージャを使用して元に戻します。真のDBAは、execute any procedureすることもできます。 特権を付与するか、復号化機能を実行するための明示的な権限を自分自身に付与でき、キーが何であるかを気にする必要さえありません(Database Vaultのみがこれを防ぐことができます)。
DBAはSQLをさまざまな方法で見ることができるため、キーをコードに直接埋め込むのではなく、入力として関数に送信することも問題になります。 SQLクエリを介して送信される場合、キーはADDMレポート、データベーストレースファイル、または監査証跡にも公開される可能性があります。
いいえはありません PL / SQLで説明しているように、暗号化を安全に処理し、DBAからデータを保護します。