Вступ до шифрування даних pgcrypto

Чув про крадіжку даних? О, це не просто сюжет для голлівудських блокбастерів. Компанії втрачають мільйони доларів через витоки даних, а їхня репутація сиплеться, як картковий будиночок. Щоб цього не сталося, дані обов'язково треба захищати. Один із найпотужніших підходів — шифрування.

Шифрування — це спосіб перетворити дані на "секретний код", який неможливо зрозуміти без ключа для розшифрування. У PostgreSQL є круте розширення під назвою pgcrypto, яке спрощує процес шифрування твоїх даних.

pgcrypto — це розширення PostgreSQL, яке дає потужні інструменти для шифрування й дешифрування даних, роботи з хешами та генерації випадкових даних.

Основні можливості pgcrypto:

1. Шифрування симетричним (один ключ) та асиметричним (пара ключів: приватний і публічний) способом.
2. Хешування даних для їх перевірки (наприклад, паролів).
3. Генерація випадкових даних, які можна використовувати для створення токенів, ключів і паролів.

Ось як підключити pgcrypto у твоїй базі даних. Якщо ти раніше думав, що магія доступна тільки чарівникам із Гоґвортсу, дозволь PostgreSQL тебе здивувати.

-- Підключення розширення pgcrypto
CREATE EXTENSION IF NOT EXISTS pgcrypto;

Симетричне шифрування: Кодуємо твої секрети

Функції для шифрування та дешифрування:

1. pgp_sym_encrypt(data, key) — шифрує дані з використанням симетричного ключа.
2. pgp_sym_decrypt(data, key) — розшифровує дані, зашифровані тим самим ключем.

Приклад: шифрування простого тексту

Припустимо, у нас є таблиця users із колонкою email, і ми хочемо зашифрувати email-адреси.

-- Створюємо таблицю users
CREATE TABLE users (
    id SERIAL PRIMARY KEY,
    email TEXT
);

-- Вставляємо дані
INSERT INTO users (email)
VALUES ('user1@example.com'), ('user2@example.com');

-- Шифруємо дані
UPDATE users
SET email = pgp_sym_encrypt(email, 'supersecretkey');

-- Перевіряємо результат
SELECT * FROM users;

Результат: у колонці email тепер зберігається зашифрований текст, який виглядає як безглуздий набір символів.

Дешифрування даних

Коли треба повернути дані до початкового вигляду, використовуй функцію pgp_sym_decrypt.

-- Дешифрування даних
SELECT pgp_sym_decrypt(email::bytea, 'supersecretkey') AS original_email
FROM users;

Примітка: не економ на ключах. Ключ типу "123456" — це як поставити пароль на двері, а потім залишити двері відчиненими. Використовуй довгі й складні ключі.

Хешування даних: захист паролів на стероїдах

Зберігати паролі у базі відкрито — це як ховати щоденник під подушкою в гуртожитку. Не роби так! Замість цього використовуй хешування.

Функція для хешування: crypt(password, gen_salt('bf')) — створює хеш для рядка password, використовуючи алгоритм Blowfish.

-- Приклад хешування пароля
SELECT crypt('my_password', gen_salt('bf'));

Результат буде виглядати приблизно так: $2a$10$Efgnd3tFs3tOH6r3RgW5/uLPhNTa43k5E2C5Ut0Ydo7RNHZjG.vi.

Щоб перевірити пароль, використовуй ту ж функцію:

-- Перевірка пароля
SELECT crypt('my_password', '$2a$10$Efgnd3tFs3tOH6r3RgW5/uLPhNTa43k5E2C5Ut0Ydo7RNHZjG.vi') 
       = '$2a$10$Efgnd3tFs3tOH6r3RgW5/uLPhNTa43k5E2C5Ut0Ydo7RNHZjG.vi';

Результат: true.

Порада: ніколи не зберігай паролі у відкритому вигляді. Навіть якщо тобі здається, що твоя база максимально захищена, завжди використовуй хеші.

Асиметричне шифрування: Два ключі краще, ніж один

Асиметричне шифрування передбачає використання двох ключів:

1. Публічний ключ (для шифрування).
2. Приватний ключ (для дешифрування).

Приклад: шифрування за допомогою публічного ключа

-- Створюємо пару ключів (для простоти зберігаємо їх у змінних)
DO $$
DECLARE
    public_key TEXT;
    private_key TEXT;
BEGIN
    SELECT pgp_keygen_keys(1024, 'my_passphrase')
    INTO public_key, private_key;

    RAISE NOTICE 'Public Key: %', public_key;
    RAISE NOTICE 'Private Key: %', private_key;
END $$;

Застосування асиметричного шифрування

Сучасні системи часто використовують асиметричне шифрування для обміну даними, наприклад, у SSL-з'єднаннях.

Генерація випадкових даних

Для створення токенів або випадкових ключів використовуй функцію gen_random_uuid або gen_random_bytes.

Приклад:

-- Генерація випадкового UUID
SELECT gen_random_uuid();

-- Генерація масиву випадкових байтів
SELECT gen_random_bytes(16);

Це корисно для створення унікальних ідентифікаторів, токенів доступу чи випадкових паролів.

Сценарії використання pgcrypto

1. Шифрування конфіденційних даних:

• Номери кредитних карток.
• Персональні дані клієнтів (наприклад, адреси, номери телефонів).
• Медичні записи.

2. Хешування паролів: Переконайся, що навіть адміністратор бази не зможе побачити паролі користувачів.

3. Безпечна передача даних: Використання асиметричного шифрування для передачі зашифрованої інформації.

4. Генерація токенів: Створення токенів для автентифікації користувачів API.

Типові помилки при роботі з шифруванням

Зберігання ключів у доступних місцях. Ніколи не зберігай ключі шифрування у базах у відкритому вигляді. Для цього використовуй менеджери секретів.

Використання слабких ключів. Якщо ключ шифрування занадто короткий, його можуть підібрати.

Шифрування без потреби. Шифрування збільшує ресурси на обробку даних. Використовуй його тільки там, де це реально потрібно.

Забув, який ключ використовував. Відсутність документації може призвести до неможливості розшифрувати дані.

Шифрування — це не складний, а скоріше логічний крок до захисту твоїх даних. Додавай pgcrypto у свої проєкти, і ти зробиш бази не тільки захищеними, а й ближчими до стандартів, яких вимагає сучасний світ. PostgreSQL дає всі інструменти, щоб перетворити твої дані на неприступну фортецю.