Realm の暗号化 - Swift SDK
Overview
Realm を開くときに 64 バイトの暗号化キーを指定することで、AES-256 + SHA-2 でディスク上の Realm ファイルを暗号化できます。
Realmは標準の AES-256 暗号化 でデータを透過的に暗号化と復号化します 指定された ビット暗号化のキーの最初の256 512ビットを使用します。 Realmは、 ビット暗号化のキーの他の256 512ビットを使用して、 ハッシュベースのメッセージ認証コード(HMAC)を使用して整合性を検証します。
警告
Realm 暗号化キーには、暗号化が脆弱なハッシュを使用しないでください。 最適なセキュリティを実現するには、暗号化キーを生成するのではなく、ランダムに生成することをお勧めします。
注意
既存の暗号化されていない Realm を暗号化できません
Realm は、初めて開くときに暗号化する必要があります。 暗号化キーを含む構成を使用して、暗号化されていない既存の Realm を開こうとすると、Realm はエラーをスローします。
Considerations
以下は、Realm を暗号化する際に考慮する必要があるキーへの影響です。
キーの保存と再利用
暗号化されたRealmを開くたびに、同じ暗号化キーを渡す必要があります。 暗号化された Realm にキーを指定しないか、誤ったキーを指定した場合、Realm SDK はエラーをスローします。
アプリは暗号化のキーを キーチェーン に保存し、他のアプリがキーを読み取れないようにする必要があります。
パフォーマンスへの影響
暗号化された Realm での読み取りと書込みは、暗号化されていない Realm よりも最大 10% 遅くなる可能性があります。
暗号化と Atlas Device Sync
Realm はデバイス上のデータのみを暗号化し、暗号化されていないデータを Atlas データソースに保存します。 Atlas データソースへのアクセスが許可されたユーザーはデータを読み取ることができますが、次の条件は引き続き適用されます。
同期されたデータを読み取るには、ユーザーには適切な読み取り権限が必要です。
Atlas に保存されるデータは、常にボリューム(ディスク)レベルで暗号化されます。
クライアントとサーバー間の転送は常に完全に暗号化されます。
また、カスタマー キー管理を有効にして、クラウドAtlasのキー(例: Amazon Web Services KMS 、 Azure Key Vault 、 Google Cloud Platform KMS )。
アプリケーションの各ユーザーに一意のキーが必要な場合は、OAuth プロバイダーを使用するか、 Realm認証プロバイダーと認証triggerのいずれかを使用して 64 ビットキーを作成し、そのキーをユーザー オブジェクトに保存できます。
複数のプロセスから暗号化された Realm へのアクセス
バージョン10.38.0で変更。
Realm Swift SDK バージョン 10.38.0 以降、Realm は、複数のプロセスで同じ暗号化された Realm を開くことをサポートしています。
アプリが Realm Swift SDK バージョン 10.37.2 またはそれ以前のバージョンを使用している場合、複数のプロセスから暗号化された Realm を開こうとすると、次のエラーがスローされます。
Encrypted interprocess sharing is currently unsupported.
以前の SDK バージョンを使用しているアプリには、複数のプロセスで Realm を操作するための 2 つのオプションがあります。
暗号化されていない Realm を使用します。
暗号化するデータを Realm オブジェクトの
NSDataプロパティとして保存します。 次に、個々のフィールドを暗号化および復号化できます。
フィールドを暗号化および復号化するために使用可能なツールの 1 つは、 Apple の CryptoKit フレームワーク 。Swift 暗号 化を使用できます CryptoKit を使用してアプリ開発を簡素化します。
例
次のコードは、暗号化キーを生成し、暗号化された Realm を開く方法を示しています。
// Generate a random encryption key NSMutableData *key = [NSMutableData dataWithLength:64]; (void)SecRandomCopyBytes(kSecRandomDefault, key.length, (uint8_t *)key.mutableBytes); // Open the encrypted Realm file RLMRealmConfiguration *config = [RLMRealmConfiguration defaultConfiguration]; config.encryptionKey = key; NSError *error = nil; RLMRealm *realm = [RLMRealm realmWithConfiguration:config error:&error]; if (!realm) { // If the encryption key is wrong, `error` will say that it's an invalid database NSLog(@"Error opening realm: %@", error); } else { // Use the realm as normal... }
// Generate a random encryption key var key = Data(count: 64) _ = key.withUnsafeMutableBytes { (pointer: UnsafeMutableRawBufferPointer) in SecRandomCopyBytes(kSecRandomDefault, 64, pointer.baseAddress!) } // Configure for an encrypted realm var config = Realm.Configuration(encryptionKey: key) do { // Open the encrypted realm let realm = try Realm(configuration: config) // ... use the realm as normal ... } catch let error as NSError { // If the encryption key is wrong, `error` will say that it's an invalid database fatalError("Error opening realm: \(error.localizedDescription)") }
次の Swift の例は、キーチェーンから生成されたキーを保存および検索する方法を示しています。
// Retrieve the existing encryption key for the app if it exists or create a new one func getKey() -> Data { // Identifier for our keychain entry - should be unique for your application let keychainIdentifier = "io.Realm.EncryptionExampleKey" let keychainIdentifierData = keychainIdentifier.data(using: String.Encoding.utf8, allowLossyConversion: false)! // First check in the keychain for an existing key var query: [NSString: AnyObject] = [ kSecClass: kSecClassKey, kSecAttrApplicationTag: keychainIdentifierData as AnyObject, kSecAttrKeySizeInBits: 512 as AnyObject, kSecReturnData: true as AnyObject ] // To avoid Swift optimization bug, should use withUnsafeMutablePointer() function to retrieve the keychain item // See also: http://stackoverflow.com/questions/24145838/querying-ios-keychain-using-swift/27721328#27721328 var dataTypeRef: AnyObject? var status = withUnsafeMutablePointer(to: &dataTypeRef) { SecItemCopyMatching(query as CFDictionary, UnsafeMutablePointer($0)) } if status == errSecSuccess { // swiftlint:disable:next force_cast return dataTypeRef as! Data } // No pre-existing key from this application, so generate a new one // Generate a random encryption key var key = Data(count: 64) key.withUnsafeMutableBytes({ (pointer: UnsafeMutableRawBufferPointer) in let result = SecRandomCopyBytes(kSecRandomDefault, 64, pointer.baseAddress!) assert(result == 0, "Failed to get random bytes") }) // Store the key in the keychain query = [ kSecClass: kSecClassKey, kSecAttrApplicationTag: keychainIdentifierData as AnyObject, kSecAttrKeySizeInBits: 512 as AnyObject, kSecValueData: key as AnyObject ] status = SecItemAdd(query as CFDictionary, nil) assert(status == errSecSuccess, "Failed to insert the new key in the keychain") return key } // ... // Use the getKey() function to get the stored encryption key or create a new one var config = Realm.Configuration(encryptionKey: getKey()) do { // Open the realm with the configuration let realm = try Realm(configuration: config) // Use the realm as normal } catch let error as NSError { // If the encryption key is wrong, `error` will say that it's an invalid database fatalError("Error opening realm: \(error)") }