Использование pgcrypto в Managed Service for PostgreSQL

Расширение pgcrypto предоставляет криптографические функции, которые позволяют администраторам баз данных хранить определенные столбцы данных в зашифрованном виде.

Установить расширение pgcrypto в кластер PostgreSQLУстановить расширение pgcrypto в кластер PostgreSQL

Добавьте расширение pgcrypto к базе данных.

Подробнее о расширении pgcrypto см. в официальной документации.

Примеры использованияПримеры использования

Однонаправленное шифрованиеОднонаправленное шифрование

1. Создайте таблицу:

   CREATE TABLE tbl_one_way_crypt(username varchar(100) PRIMARY KEY, cryptpwd text);
   

2. Вставьте данные с хешированным текстом в столбце cryptpwd:

   INSERT INTO tbl_one_way_crypt(username, cryptpwd)
       VALUES ('bob', crypt('Password123', gen_salt('md5'))),
              ('alice', crypt('Password123', gen_salt('md5')));
   

3. Проверьте, что данные в столбце cryptpwd зашифрованы:

   SELECT * FROM tbl_one_way_crypt;
   

4. Проверьте, что в зашифрованных данных хранится текст Password123:

   SELECT username FROM tbl_one_way_crypt
   WHERE cryptpwd = crypt('Password123', cryptpwd);
   

Симметричное шифрованиеСимметричное шифрование

1. Создайте таблицу:

   CREATE TABLE tbl_sym_crypt (username varchar(100) PRIMARY KEY, crypttext text);
   

2. Вставьте данные с зашифрованным текстом в столбце crypttext:

   INSERT INTO tbl_sym_crypt (username, crypttext) 
       VALUES ('bob', pgp_sym_encrypt('Text to encrypt','!qazSymKeyXsw2')),
              ('alice', pgp_sym_encrypt('Secret Data','!qazSymKeyXsw2'));
   

3. Проверьте, что данные в столбце crypttext зашифрованы:

   SELECT * FROM tbl_sym_crypt;
   

4. Получите расшифрованные данные, явно указав тип данных bytea:

   SELECT username, pgp_sym_decrypt(crypttext::bytea, '!qazSymKeyXsw2')
   FROM tbl_sym_crypt;
   

Ассиметричное шифрованиеАссиметричное шифрование

1. Подготовьте пару ключей с помощью утилиты GnuPG:

   1. Создайте пару ключей:

      gpg --gen-key
      

      Укажите USER-ID ключа (Real name и Email address) и Passphrase.

   2. Экспортируйте ключи в файлы:

      gpg -a --export <Real_name_ключа> > public.key && \
      gpg -a --export-secret-keys <Real_name_ключа> > private.key
      

2. Создайте таблицу:

   CREATE TABLE tbl_asym_crypt(ssn_id SERIAL PRIMARY KEY,
       username varchar(100), ssn bytea);
   

3. Вставьте данные с зашифрованным текстом в столбце ssn с помощью публичного ключа:

   INSERT INTO tbl_asym_crypt (username, ssn)
   SELECT tmp.username, pgp_pub_encrypt(tmp.ssn, keys.pubkey) AS tbl
   FROM (
       VALUES ('Alice', '123-45-6788'), ('Bob', '123-45-6799'))
       AS tmp(username, ssn)
   CROSS JOIN (SELECT  dearmor('<содержимое_файла_public.key>') AS pubkey) AS keys;
   

4. Проверьте, что данные с столбце ssn зашифрованы:

   SELECT * FROM tbl_asym_crypt;
   

5. Расшифруйте данные в столбце ssn с помощью закрытого ключа:

   SELECT username, pgp_pub_decrypt(ssn, keys.privkey, '<Passphrase_ключа>')
       AS decrypted_ssn FROM tbl_asym_crypt
   CROSS JOIN (SELECT dearmor('<содержимое_файла_private.key>') AS privkey) AS keys;