大查询中的字段级加密

问题描述 投票:1回答:1

我们的团队目前正在探索在BigQuery中对字段级别的PII数据进行加密的方法,我们发现使用Crypto-JS加密/解密的方法如下:

#standardSQL
CREATE TEMPORARY FUNCTION encrypt(_text STRING) RETURNS STRING LANGUAGE js AS
"""
  let key = CryptoJS.enc.Utf8.parse("<key>");
  let options = { iv: CryptoJS.enc.Utf8.parse("<iv>"), mode: CryptoJS.mode.CBC };
  let _encrypt = CryptoJS.AES.encrypt(_text, key, options);
  return _encrypt;
""";
CREATE TEMPORARY FUNCTION decrypt(_text STRING) RETURNS STRING LANGUAGE js AS
"""
  let key = CryptoJS.enc.Utf8.parse("<key>");
  let options = { iv: CryptoJS.enc.Utf8.parse("<iv>"), mode: CryptoJS.mode.CBC };
  let _decrypt = CryptoJS.AES.decrypt(_text, key, options).toString(CryptoJS.enc.Utf8);
  return _decrypt;
""" OPTIONS (library="gs://path/to/Crypto-JS/crypto-js.js");

-- query to encrypt fields
SELECT
  <fields>, encrypt(<pii-fields>)
FROM
  `<project>.<dataset>.<table>`

-- query to decrypt fields
SELECT
      <fields>, decrypt(<pii-fields>)
    FROM
      `<project>.<dataset>.<table>`

我试图在将大型查询部署到我们的生产中之前使用Crypto JS库对AES CBC加密和解密的性能进行基准测试。我们发现,与通常的查询相比,加密和解密的数据速率随着记录的增长呈指数增长。然而,随着要处理的数据量的增加,每个记录和记录处理时间的处理进度正在改善。

由于没有关于此的可用文档,社区中的某些人是否可以帮助提供更好的方法,优化查询,在大查询中使用字段级加密和解密的最佳实践?

enter image description here

encryption google-cloud-platform google-bigquery aes
1个回答
1
投票

BigQuery现在支持encryption functions。从文档中,这是一个自包含的示例,它创建一些键集并使用它们来加密数据。实际上,您需要将密钥集存储在实际表中,以便以后可以使用它们来解密密文。

WITH CustomerKeysets AS (
  SELECT 1 AS customer_id, KEYS.NEW_KEYSET('AEAD_AES_GCM_256') AS keyset UNION ALL
  SELECT 2, KEYS.NEW_KEYSET('AEAD_AES_GCM_256') UNION ALL
  SELECT 3, KEYS.NEW_KEYSET('AEAD_AES_GCM_256')
), PlaintextCustomerData AS (
  SELECT 1 AS customer_id, 'elephant' AS favorite_animal UNION ALL
  SELECT 2, 'walrus' UNION ALL
  SELECT 3, 'leopard'
)
SELECT
  pcd.customer_id,
  AEAD.ENCRYPT(
    (SELECT keyset
     FROM CustomerKeysets AS ck
     WHERE ck.customer_id = pcd.customer_id),
    pcd.favorite_animal,
    CAST(pcd.customer_id AS STRING)
  ) AS encrypted_animal
FROM PlaintextCustomerData AS pcd;

编辑:如果你想使用带有PKCS填充的AES-CBC解密(你不清楚你在你的例子中使用了什么样的填充)你可以使用KEYS.ADD_KEY_FROM_RAW_BYTES function创建一个键集,然后调用AEAD.DECRYPT_STRINGAEAD.DECRYPT_BYTES。例如:

SELECT
  AEAD.DECRYPT_STRING(
    KEYS.ADD_KEY_FROM_RAW_BYTES(b'', 'AES_CBC_PKCS', b'1234567890123456'),
    FROM_HEX('deed2a88e73dccaa30a9e6e296f62be27db30db16f76d3f42c85d31db3f46376'),
    '')

这将返回abcdef。 IV预计是密文的前16个字节。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.