Jerarquía de cifradoEncryption Hierarchy

SE APLICA A: síSQL Server síAzure SQL Database noAzure SQL Data Warehouse noAlmacenamiento de datos paralelos APPLIES TO: yesSQL Server yesAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

SQL ServerSQL Server cifra los datos con una infraestructura de cifrado jerárquico y administración de claves.encrypts data with a hierarchical encryption and key management infrastructure. Cada capa cifra la capa inferior utilizando una combinación de certificados, claves asimétricas y claves simétricas.Each layer encrypts the layer below it by using a combination of certificates, asymmetric keys, and symmetric keys. Las claves asimétricas y las claves simétricas pueden estar almacenadas fuera de SQL ServerSQL Server en un módulo de Administración extensible de claves (EKM).Asymmetric keys and symmetric keys can be stored outside of SQL ServerSQL Server in an Extensible Key Management (EKM) module.

La siguiente ilustración muestra que cada nivel de la jerarquía de cifrado cifra el nivel que tiene por debajo y muestra las configuraciones de cifrado más comunes.The following illustration shows that each layer of the encryption hierarchy encrypts the layer beneath it, and displays the most common encryption configurations. El acceso al principio de la jerarquía se suele proteger mediante una contraseña.The access to the start of the hierarchy is usually protected by a password.

Muestra algunas combinaciones de cifrado en una pila.Displays some encryption combinations in a stack.

Tenga presente los conceptos siguientes:Keep in mind the following concepts:

  • Para obtener el máximo rendimiento, cifre los datos utilizando claves simétricas en lugar de certificados o claves asimétricas.For best performance, encrypt data using symmetric keys instead of certificates or asymmetric keys.

  • Las claves maestras de base de datos se protegen mediante la clave maestra de servicio.Database master keys are protected by the Service Master Key. El programa de instalación de SQL ServerSQL Server crea la clave maestra de servicio, que se cifra con la API de protección de datos de Windows (DPAPI).The Service Master Key is created by SQL ServerSQL Server setup and is encrypted with the Windows Data Protection API (DPAPI).

  • Hay otras jerarquías de cifrado que apilan niveles adicionales.Other encryption hierarchies stacking additional layers are possible.

  • El módulo de Administración extensible de claves (EKM) mantiene las claves simétricas o asimétricas fuera de SQL Server.An Extensible Key Management (EKM) module holds symmetric or asymmetric keys outside of SQL Server.

  • El Cifrado de datos transparente (TDE) debe utilizar una clave simétrica denominada clave de cifrado de base de datos que se protege bien mediante un certificado protegido por la clave maestra de base de datos de la base de datos maestra o bien mediante una clave asimétrica almacenada en una EKM.Transparent Data Encryption (TDE) must use a symmetric key called the database encryption key which is protected by either a certificate protected by the database master key of the master database, or by an asymmetric key stored in an EKM.

  • La clave maestra de servicio y todas las claves maestras de base de datos son claves simétricas.The Service Master Key and all Database Master Keys are symmetric keys.

La ilustración siguiente muestra la misma información de una manera alternativa.The following illustration shows the same information in an alternative manner.

Muestra algunas combinaciones de cifrado en una rueda.Displays some encryption combinations in a wheel.

Este diagrama muestra los conceptos adicionales siguientes:This diagram illustrates the following additional concepts:

  • En esta ilustración, las flechas indican las jerarquías de cifrado comunes.In this illustration, arrows indicate common encryption hierarchies.

  • Las claves simétricas y asimétricas de EKM pueden proteger el acceso a las claves simétricas y asimétricas almacenadas en SQL ServerSQL Server.Symmetric and asymmetric keys in the EKM can protect access to the symmetric and asymmetric keys stored in SQL ServerSQL Server. La línea de puntos asociada a la EKM indica que las claves de la EKM podrían reemplazar a las claves simétricas y asimétricas que se almacenan en SQL ServerSQL Server.The dotted line associated with EKM indicates that keys in the EKM could replace the symmetric and asymmetric keys stored in SQL ServerSQL Server.

Mecanismos de cifradoEncryption Mechanisms

SQL ServerSQL Server ofrece los mecanismos siguientes para el cifrado:provides the following mechanisms for encryption:

  • Transact-SQLTransact-SQL funcionesfunctions

  • Claves asimétricasAsymmetric keys

  • Claves simétricasSymmetric keys

  • CertificadosCertificates

  • Cifrado de datos transparenteTransparent Data Encryption

Funciones de Transact-SQLTransact-SQL Functions

Los elementos individuales se pueden cifrar a medida que se insertan o actualizan utilizando las funciones de Transact-SQLTransact-SQL .Individual items can be encrypted as they are inserted or updated using Transact-SQLTransact-SQL functions. Para obtener más información, vea ENCRYPTBYPASSPHRASE (Transact-SQL) y DECRYPTBYPASSPHRASE (Transact-SQL).For more information, see ENCRYPTBYPASSPHRASE (Transact-SQL) and DECRYPTBYPASSPHRASE (Transact-SQL).

CertificadosCertificates

Un certificado de clave pública, normalmente denominado solo certificado, es una instrucción firmada digitalmente que enlaza el valor de una clave pública con la identidad de la persona, dispositivo o servicio que tiene la clave privada correspondiente.A public key certificate, usually just called a certificate, is a digitally-signed statement that binds the value of a public key to the identity of the person, device, or service that holds the corresponding private key. Las entidades certificadoras son las encargadas de emitir y firmar los certificados.Certificates are issued and signed by a certification authority (CA). La entidad que recibe un certificado de una CA es el sujeto de ese certificado.The entity that receives a certificate from a CA is the subject of that certificate. Por lo general, los certificados contienen la siguiente información.Typically, certificates contain the following information.

  • La clave pública del sujeto.The public key of the subject.

  • La información que identifica al sujeto, como el nombre y la dirección de correo electrónico.The identifier information of the subject, such as the name and e-mail address.

  • El periodo de validez.The validity period. Es decir, el periodo de tiempo durante el que el certificado se considera válido.This is the length of time that the certificate is considered valid.

    Un certificado solo es válido durante el periodo de tiempo que se especifica en el mismo; todos los certificados contienen una fecha Válido desde y otra Válido hasta .A certificate is valid only for the period of time specified within it; every certificate contains Valid From and Valid To dates. Estas fechas establecen los límites del periodo de validez.These dates set the boundaries of the validity period. Cuando el periodo de validez de un certificado ha transcurrido, es necesario que el sujeto del certificado expirado solicite uno nuevo.When the validity period for a certificate has passed, a new certificate must be requested by the subject of the now-expired certificate.

  • Información de identificador del emisor.Issuer identifier information.

  • La firma digital del emisor.The digital signature of the issuer.

    Esta firma da fe de la validez de las obligaciones entre la clave pública y la información de identificador del sujeto.This signature attests to the validity of the binding between the public key and the identifier information of the subject. (El proceso de firmar digitalmente la información conlleva transformar la información, así como cierta información privada que conserva el remitente, en una etiqueta denominada firma.)(The process of digitally signing information entails transforming the information, as well as some secret information held by the sender, into a tag called a signature.)

Una de las principales ventajas de los certificados es que liberan a los hosts de la necesidad de establecer contraseñas para sujetos individuales.A primary benefit of certificates is that they relieve hosts of the need to maintain a set of passwords for individual subjects. En su lugar, el host simplemente establece la confianza en un emisor de certificados, que a continuación puede firmar un número ilimitado de certificados.Instead, the host merely establishes trust in a certificate issuer, which may then sign an unlimited number of certificates.

Cuando un host, por ejemplo, un servidor web seguro, designa a un emisor como entidad emisora raíz de confianza, el host implícitamente confía en las directivas que el emisor ha utilizado para establecer las obligaciones de los certificados que emite.When a host, such as a secure Web server, designates an issuer as a trusted root authority, the host implicitly trusts the policies that the issuer has used to establish the bindings of certificates it issues. En efecto, el host confía en que el emisor ha comprobado la identidad del sujeto del certificado.In effect, the host trusts that the issuer has verified the identity of the certificate subject. Un host designa a un emisor como entidad emisora raíz de confianza presentando el certificado autofirmado del emisor, que contiene la clave pública de éste, en el almacén de certificados de la entidad de certificación raíz de confianza del equipo host.A host designates an issuer as a trusted root authority by putting the self-signed certificate of the issuer, which contains the public key of the issuer, into the trusted root certification authority certificate store of the host computer. Las entidades de certificación intermedias o subordinadas solo son de confianza si tienen una ruta válida de certificación procedente de una entidad de certificación raíz.Intermediate or subordinate certification authorities are trusted only if they have a valid certification path from a trusted root certification authority.

El emisor puede revocar un certificado antes de que expire.The issuer can revoke a certificate before it expires. La revocación cancela las obligaciones que una clave pública tiene con una identidad que se exprese en el certificado.Revocation cancels the binding of a public key to an identity that is asserted in the certificate. Cada emisor mantiene una lista de revocación de certificados que los programas pueden utilizar cuando estén comprobando la validez de un certificado determinado.Each issuer maintains a certificate revocation list that can be used by programs when they are checking the validity of any given certificate.

Los certificados autofirmados que se crean con SQL ServerSQL Server cumplen el estándar X.509 y son compatibles con los campos de X.509 v1.The self-signed certificates created by SQL ServerSQL Server follow the X.509 standard and support the X.509 v1 fields.

Claves asimétricasAsymmetric Keys

Una clave asimétrica se compone de una clave privada y su correspondiente clave pública.An asymmetric key is made up of a private key and the corresponding public key. Cada clave puede descifrar los datos que cifra la otra.Each key can decrypt data encrypted by the other. El cifrado y descifrado asimétricos consumen una cantidad de recursos relativamente elevada, pero proporcionan un nivel de seguridad superior al del cifrado simétrico.Asymmetric encryption and decryption are relatively resource-intensive, but they provide a higher level of security than symmetric encryption. Una clave asimétrica se puede utilizar para cifrar una clave simétrica para almacenar en una base de datos.An asymmetric key can be used to encrypt a symmetric key for storage in a database.

Claves simétricasSymmetric Keys

Una clave simétrica es una clave que se utiliza para el cifrado y el descifrado.A symmetric key is one key that is used for both encryption and decryption. El cifrado y el descifrado con una clave simétrica son más rápidos y adecuados para usarlos de forma rutinaria con datos confidenciales de una base de datos.Encryption and decryption by using a symmetric key is fast, and suitable for routine use with sensitive data in the database.

Cifrado de datos transparenteTransparent Data Encryption

El Cifrado de datos transparente (TDE) es un caso especial de cifrado que usa una clave simétrica.Transparent Data Encryption (TDE) is a special case of encryption using a symmetric key. TDE cifra una base de datos completa utilizando la clave simétrica denominada clave de cifrado de base de datos.TDE encrypts an entire database using that symmetric key called the database encryption key. Otras claves o certificados que se protegen bien mediante la clave maestra de base de datos o bien mediante una clave asimétrica almacenadas en un módulo EKM protegen la clave de cifrado de base de datos.The database encryption key is protected by other keys or certificates which are protected either by the database master key or by an asymmetric key stored in an EKM module. Para obtener más información, vea Cifrado de datos transparente (TDE).For more information, see Transparent Data Encryption (TDE).

Proteger SQL ServerSecuring SQL Server

Funciones de seguridad (Transact-SQL)Security Functions (Transact-SQL)

Consulte tambiénSee Also

Jerarquía de permisos (motor de base de datos) Permissions Hierarchy (Database Engine)
Elementos protegiblesSecurables