Docs Menu
Docs Home
/
MongoDB Atlas
/
Atlas Device SDK
/
Node.js SDK
/
Realm ファイル

Realm の暗号化 - Node.js SDK

項目一覧

  • キーの保存と再利用
  • パフォーマンスへの影響
  • 暗号化と Atlas Device Sync
  • 複数のプロセスから暗号化された Realm へのアクセス
  • App Services Appのメタデータの暗号化

Realm を開くときに 64 バイトの暗号化キーを指定することで、AES-256 + SHA-2 でディスク上の Realm ファイルを暗号化できます。

Realmは標準の AES-256 暗号化 でデータを透過的に暗号化と復号化します 指定された ビット暗号化のキーの最初の256 512ビットを使用します。 Realmは、 ビット暗号化のキーの他の256 512ビットを使用して、 ハッシュベースのメッセージ認証コード(HMAC)を使用して整合性を検証します。

警告

Realm 暗号化キーには、暗号化が脆弱なハッシュを使用しないでください。 最適なセキュリティを実現するには、暗号化キーを生成するのではなく、ランダムに生成することをお勧めします。

注意

暗号化されていない Realm を開くまたはコピーして、Realm を暗号化する

Realm は、初めて開くときに暗号化する必要があります。 暗号化キーを含む構成を使用して、暗号化されていない既存の Realm を開こうとすると、Realm はエラーをスローします。

あるいは、 Realm.writeCopyTo() メソッドを使用して、暗号化されていない Realm データを新しい暗号化された Realm にコピーすることもできます 使用して複数のドキュメントを挿入できます。 詳細については、「 データのコピーと新しい Realm のオープン 」を参照してください。

次のコードは、暗号化キーを生成し、暗号化された Realm を開く方法を示しています。

// Retrieve encryption key from secure location or create one
const encryptionKey = new ArrayBuffer(64);
// Use encryption key in realm configuration
const config = {
  schema: [Task],
  encryptionKey: encryptionKey,
};
const realm = await Realm.open(config);
// Retrieve encryption key from secure location or create one
const encryptionKey = new ArrayBuffer(64);
// Use encryption key in realm configuration
const config: Configuration = {
  schema: [Task],
  encryptionKey: encryptionKey,
};
const realm = await Realm.open(config);

キーの保存と再利用

暗号化されたRealmを開くたびに、同じ暗号化キーを渡す必要があります。 暗号化された Realm にキーを指定しないか、誤ったキーを指定した場合、Realm SDK はエラーをスローします。

アプリは暗号化のキーを通常、ターゲット プラットフォームのセキュリティで保護されたキーと値のストレージに安全に保存し、他のアプリがキーを読み取れないようにする必要があります。

パフォーマンスへの影響

暗号化された Realm での読み取りと書込みは、暗号化されていない Realm よりも最大 10% 遅くなる可能性があります。

暗号化と Atlas Device Sync

同期された Realm を暗号化できます。

Realm はデバイス上のデータのみを暗号化し、暗号化されていないデータを Atlas データソースに保存します。 Atlas データソースへのアクセスが許可されたユーザーはデータを読み取ることができますが、次の条件は引き続き適用されます。

  • 同期されたデータを読み取るには、ユーザーには適切な読み取り権限が必要です。

  • Atlas に保存されるデータは、常にボリューム(ディスク)レベルで暗号化されます。

  • クライアントとサーバー間の転送は常に完全に暗号化されます。

また、カスタマー キー管理を有効にして、クラウドAtlasのキー(例: Amazon Web Services KMS 、 Azure Key Vault 、 Google Cloud Platform KMS )。

アプリケーションの各ユーザーに一意のキーが必要な場合は、OAuth プロバイダーを使用するか、 Realm認証プロバイダー認証triggerのいずれかを使用して 64 ビットキーを作成し、そのキーをユーザー オブジェクトに保存できます。

複数のプロセスから暗号化された Realm へのアクセス

バージョン realm@11.8.0で変更されました

Realm Node.js SDK バージョン v 11.8.0以降では、 Realm は、複数のプロセスで同じ暗号化された Realm を開くことをサポートしています。

アプリが Realm Node.js SDK バージョン v11.7.0 またはそれ以前を使用している場合、複数の プロセスから暗号化された Realm を開こうとすると、次のエラーがスローされます。 Encrypted interprocess sharing is currently unsupported.

App Services Appのメタデータの暗号化

Realm で Atlas Device Sync を使用する場合、App Services App はデバイス上のメタデータ ファイルを使用して、同期する必要がある変更を決定します。

このメタデータファイルは、Realm を暗号化するのと同様の方法で暗号化できます。

詳しくは、「アプリ メタデータの暗号化 」を参照してください。

戻る

Realm のバンドル

次へ

モデルデータ