EKM是否与CNG密钥存储提供商合作?
pra*_*ant 6 sql-server cryptography tde cng mscapi
SQL Server提供数据加密功能以及可扩展密钥管理(EKM),使用Microsoft Cryptographic API(MSCAPI)提供程序进行加密和密钥生成.
这是否意味着EKM仅适用于MSCAPI(旧CSP)而不适用于新的CNG密钥存储提供商?
是的,目前EKM (Extensible Key Management)仅适用于MSCAPI. EKM 没有任何 API 可以与 CNG 进行通信(操作系统级别)。
它是钥匙的“持有者”。这CNG是为 MS Windows 提供服务的密钥存储,从 Windows Server 2008 和 Windows Vista 开始默认为该密钥存储。
CNG 与 EKM
仅CNG (DPAPI [CNG DPAPI][1]用于保护数据库主密钥 (OS)。 EKM不使用它。
从CNG的角度来看
如果您检查 CNG 架构,它会明确表示它正在使用Microsoft 软件 KSP进行(私有)密钥存储。
去引用:
CNG 目前支持使用 Windows Server 2008 和 Windows Vista 中附带并默认安装的 Microsoft 软件 KSP 来存储非对称私钥。
甚至 CNG 架构图像也没有提到 SQL Server 的可能性:
有关更多信息,请参阅 密钥存储和检索
注意:所有插图均由 Microsoft 创建。