Criptografia do lado do cliente

libmongocrypt

A libmongocrypt é uma biblioteca C utilizada pelo condutor para encriptação do lado do cliente. Para usar a criptografia do lado do cliente, você deve instalar a biblioteca libmongocrypt na máquina que executa seu programa Ruby.

A maneira mais fácil de instalar esta biblioteca é instalar o libmongocrypt-helper da seguinte forma:

gem install libmongocrypt-helper --pre

O número da versão do libmongocrypt-helper é a versão do libmongocrypt incluído, seguido pelo número da versão, por exemplo 1.3.2.r1. Como o Ruby considera que quaisquer letras no número da versão indicam uma versão de pré-lançamento, o sinalizador --pre é necessário.

O driver carregará automaticamente o libmongocrypt-helper - nenhuma configuração adicional é necessária.

Como alternativa, você pode baixar uma distribuição binária pré-desenvolvida do libmongocrypt e colocar manualmente o objeto compartilhado necessário no seu computador, da seguinte forma:

• Baixe um tarball de todas as variações da libmongocrypt aqui.

• Extraia o arquivo que você baixou. Você verá uma lista de diretórios, cada um correspondente a um sistema operacional. Encontre o diretório que corresponde ao seu sistema operacional e abra-o.

• Dentro dessa pasta, abra a pasta chamada "nocrypto". Na pasta lib ou lib64, você encontrará o arquivo libmongocrypt.so ou libmongocrypt.dylib ou libmongocrypt.DL, dependendo do seu sistema operacional.

• Mova esse arquivo para onde você quiser mantê-lo em sua máquina. Você pode excluir os outros arquivos incluídos no tarball.

Para compilar o binário a partir da origem:

• Siga as instruções no README no repositório libmongocrypt Github do.

Depois de ter o binário libmongocrypt em sua máquina, especifique o caminho para o binário usando a variável de ambiente BIMONGOCRYPT_PATH. É recomendável adicionar essa variável aos seus arquivos rc. Por exemplo:

export LIBMONGOCRYPT_PATH=/path/to/your/libmongocrypt.so

Biblioteca compartilhada de criptografia automática

A Automatic Encryption Shared Library é uma biblioteca dinâmica que permite que seu aplicativo cliente execute a criptografia automática. Ele é necessário apenas para a criptografia automática, que é um recurso somente para empresas. Se você pretende apenas usar criptografia explícita, pode pular esta etapa. A biblioteca compartilhada de criptografia automática oferece a mesma funcionalidade que o mongocryptd (veja abaixo), mas não exige que você inicie outro processo para executar a criptografia automática.

Para obter instruções de instalação, consulte o manual do MongoDB.

Quando a criptografia automática estiver habilitada, o libmongocrypt procurará a biblioteca compartilhada no caminho da biblioteca do sistema ou tentará carregar a biblioteca de um local específico se a opção :crypt_shared_lib_path for fornecida ao criar um cliente. Se a biblioteca puder ser carregada, o driver não tentará gerar o daemon mongocryptd. O daemon ainda será gerado se a biblioteca compartilhada não puder ser encontrada.

Também é possível exigir o uso da biblioteca compartilhada passando a opção crypt_shared_lib_required: true ao criar um cliente. Neste caso, um erro será gerado se a biblioteca compartilhada não puder ser carregada.

mongocryptd

O Mongocryptd é uma alternativa à biblioteca compartilhada de criptografia automática. O Mongocryptd é um daemon que informa ao driver quais campos criptografar em uma determinada operação. Ele é necessário apenas para a criptografia automática, que é um recurso somente para empresas. Se você pretende apenas usar criptografia explícita, pode pular esta etapa.

O Mongocryptd vem pré-embalado com compilações empresariais do servidor MongoDB (versões 4.2 e mais recentes). Para obter instruções de instalação, consulte o manual do MongoDB.

Para configurar o mongocryptd (por exemplo, em qual porta ele escuta ou o caminho usado para gerar o daemon), é necessário passar opções diferentes para o Mongo::Client que executa a criptografia automática. Consulte a seção :extra_options deste tutorial para obter mais informações.

Chave mestra local

Uma chave mestre local é uma string binária de 96 bytes. Ele deve ser mantido em sua máquina como uma variável de ambiente ou em um arquivo de texto.

Execute o seguinte código para gerar uma chave mestre local usando Ruby:

local_master_key = SecureRandom.random_bytes(96)
# => "\xB2\xBE\x8EN\xD4\x14\xC2\x13\xC3..." (a binary blob)

Chave mestra remota

É recomendável usar um KMS remoto para criar e armazenar sua chave mestre. Para fazer isso, siga as etapas de "Configurar uma chave mestre remota" na documentação de criptografia do lado do cliente do MongoDB.

Para obter mais informações sobre como criar uma chave mestre, consulte a seção Criar uma chave mestre no manual do MongoDB.

Criar uma chave de dados usando uma chave mestre local

Se você criou uma chave mestre local, poderá usá-la para gerar uma nova chave de dados com o seguinte trecho de código:

# A Mongo::Client instance that will be used to connect to the key vault
# collection. Replace the server address with the address of the MongoDB
# server where you would like to store your key vault collection.
key_vault_client = Mongo::Client.new(['localhost:27017'])
client_encryption = Mongo::ClientEncryption.new(
  key_vault_client,
  # Replace with the database and collection names for your key vault collection
  key_vault_namespace: 'encryption.__keyVault',
  kms_providers: {
    local: {
      key: local_master_key
    }
  }
)
data_key_id = client_encryption.create_data_key('local')
# => <BSON::Binary... type=ciphertext...>

Consulte a seção Chave mestre local para obter mais informações sobre como gerar uma nova chave mestre local.

Criar uma chave de dados usando uma chave mestre remota

Se você tiver criado uma chave mestra do AWS KMS, anote o ID da chave de acesso e a chave de acesso secreta do usuário do IAM que tem permissões para usar a chave. Além disso, anote a região da Amazon Web Services e o Número de Recurso da Amazon (ARN) da sua chave mestra. Você usará essas informações para gerar uma chave de dados.

Se você tiver criado uma chave mestra do Azure, anote a ID do locatário, a ID do cliente e o segredo do cliente do aplicativo que tem permissões para usar a chave. Além disso, anote o nome da chave, a versão da chave (se houver) e o endpoint do key vault da sua chave mestra. Você usará essas informações para gerar uma chave de dados.

Se você criou uma chave mestra GCP KMS, anote o e-mail e a chave privada, e o segredo do cliente do aplicativo que tem permissões para usar a chave. Além disso, anote a ID do projeto, a localização, o chaveiro, o nome da chave e a versão da chave (se houver) para sua chave mestre. Você usará essas informações para gerar uma chave de dados.

Observe que a chave privada do GCP pode estar em formatos diferentes. O driver Ruby suporta chave privada RSA codificada por DER como cadeia de caracteres codificada base64. Para MRI Ruby, o driver também suporta chave privada RSA codificada por PEM.

Se você criou uma chave mestre usando um servidor de gerenciamento de chaves compatível com o Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP), anote o host e a porta do servidor, e o ID da chave. Você usará essas informações para gerar uma chave de dados. Talvez você também precise de certificados de autoridade de certificação, bem como de seu certificado de cliente e chave privada para autenticar no servidor KMIP.

# A Mongo::Client instance that will be used to connect to the key vault
# collection. Replace the server address with the address of the MongoDB
# server where you would like to store your key vault collection.
key_vault_client = Mongo::Client.new(['localhost:27017'])
client_encryption = Mongo::ClientEncryption.new(
  key_vault_client,
  # Replace with the database and collection names for your key vault collection
  key_vault_namespace: 'encryption.__keyVault',
  kms_providers: {
    aws: {
      access_key_id: 'IAM-ACCESS-KEY-ID',
      secret_access_key: 'IAM-SECRET-ACCESS-KEY'
    },
    azure: {
      tenant_id: 'AZURE-TENANT-ID',
      client_id: 'AZURE-CLIENT-ID',
      client_secret: 'AZURE-CLIENT-SECRET'
    },
    gcp: {
      email: 'GCP-EMAIL',
      # :private_key value should be GCP private key as base64 encoded
      # DER RSA private key, or PEM RSA private key, if you are using MRI Ruby.
      private_key: 'GCP-PRIVATE-KEY',
    },
    kmip: {
      # KMIP server endpoint may include port.
      endpoint: 'KMIP-SERVER-HOST'
    },
    # TLS options to connect to KMIP server.
    kms_tls_options: {
      kmip: {
        ssl_ca_cert: 'PATH-TO-CA-FILE',
        ssl_cert: 'PATH-TO-CLIENT-CERT-FILE',
        ssl_key: 'PATH-TO-CLIENT-KEY-FILE'
      }
    }
  }
)
aws_data_key_id = client_encryption.create_data_key(
  'aws',
  {
    master_key: {
      region: 'REGION-OF-YOUR-MASTER-KEY',
      key: 'ARN-OF-YOUR-MASTER-KEY'
    }
  }
)
# => <BSON::Binary... type=ciphertext...>
azure_data_key_id = client_encryption.create_data_key(
  'azure',
  {
    master_key: {
      key_vault_endpoint: 'AZURE-KEY-VAULT-ENDPOINT',
      key_name: 'AZURE-KEY-NAME'
    }
  }
)
# => <BSON::Binary... type=ciphertext...>
gcp_data_key_id = client_encryption.create_data_key(
  'gcp',
  {
    master_key: {
      project_id: 'GCP-PROJECT-ID',
      location: 'GCP-LOCATION',
      key_ring: 'GCP-KEY-RING',
      key_name: 'GCP-KEY-NAME',
    }
  }
)
# => <BSON::Binary... type=ciphertext...>

Consulte a seção Chave mestre remota deste tutorial para obter mais informações sobre como gerar uma nova chave mestre remota e encontrar as informações necessárias para criar chaves de dados.

Para obter mais informações sobre como criar uma chave de dados, consulte a seção Criar uma chave de criptografia de dados no manual do MongoDB.

Para obter uma lista de possíveis opções do KMS TLS, consulte Criar referência do cliente. O construtor Mongo::ClientEncryption aceita as mesmas opções ssl_ que Mongo::Client.

:key_vault_client

O cofre do cliente de chaves é uma instância do Mongo::Client que será utilizada para se conectar à collection do MongoDB que contém suas chaves de dados de criptografia. Por exemplo, se o seu cofre de chaves foi hospedado em uma instância MongoDB em localhost:30000 :

key_vault_client = Mongo::Client.new(['localhost:30000'])
Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    key_vault_client: key_vault_client,
    # ... (Fill in other options here)
  }
)

Se suas chaves de dados forem armazenadas na mesma instância do MongoDB que armazena seus dados criptografados, você poderá deixar essa opção em branco, e o cliente de nível superior será usado para inserir e buscar chaves de dados.

:key_vault_namespace

O namespace do cofre de chaves é um String no formato "database_name.collection_name", onde database_name e collection_name são o nome do reconhecimento de data center e da collection na qual você gostaria de armazenar suas chaves de dados. Por exemplo, se suas chaves de dados estiverem armazenadas no reconhecimento de data center encryption na collection __keyVault :

Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    key_vault_namespace: 'encryption.__keyVault',
    # ... (Fill in other options here)
  }
)

Não há nenhum namespace de cofre de chave padrão, e essa opção deve ser fornecida.

:kms_providers

Um hash que contém nomes de provedores KMS como chaves e opções de provedores como valores.

Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    key_vault_namespace: 'encryption.__keyVault',
    kms_providers: {
      aws: {
        access_key_id: 'IAM-ACCESS-KEY-ID',
        secret_access_key: 'IAM-SECRET-ACCESS-KEY'
      },
      azure: {
        tenant_id: 'AZURE-TENANT-ID',
        client_id: 'AZURE-CLIENT-ID',
        client_secret: 'AZURE-CLIENT-SECRET'
      },
      gcp: {
        email: 'GCP-EMAIL',
        # :private_key value should be GCP private key as base64 encoded
        # DER RSA private key, or PEM RSA private key, if you are using MRI Ruby.
        private_key: 'GCP-PRIVATE-KEY',
      },
      kmip: {
        # KMIP server endpoint may include port.
        endpoint: 'KMIP-SERVER-HOST'
      },
      # TLS options to connect to KMIP server.
      kms_tls_options: {
        kmip: {
          ssl_ca_cert: 'PATH-TO-CA-FILE',
          ssl_cert: 'PATH-TO-CLIENT-CERT-FILE',
          ssl_key: 'PATH-TO-CLIENT-KEY-FILE'
        }
      }
    }
  }
)

O cliente pode recuperar credenciais da Amazon Web Services do ambiente ou dos endpoints de metadados EC2 ou ECS. Para recuperar credenciais automaticamente, especifique um Hash vazio como opções de provedor de KMS para AWS:

Mongo::Client.new(['localhost:27017'],
   auto_encryption_options: {
    key_vault_namespace: 'encryption.__keyVault',
    kms_providers: {
      aws: {}
    }
  }
)

Consulte "Recuperando credenciais automaticamente" para obter informações mais detalhadas sobre a recuperação de credenciais.

O cliente pode recuperar credenciais do GCP dos endpoints de metadados do Google Compute Engine. Para recuperar credenciais automaticamente, especifique um Hash vazio como opções de provedor de KMS para GCP:

Mongo::Client.new(['localhost:27017'],
   auto_encryption_options: {
    key_vault_namespace: 'encryption.__keyVault',
    kms_providers: {
      gcp: {}
    }
  }
)

:kms_tls_options

Um Hash que contém nomes de fornecedores KMP como chaves e opções de TLS para se conectar a provedores correspondentes.

Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    key_vault_namespace: 'encryption.__keyVault',
    kms_providers: {
      kmip: {
        endpoint: 'KMIP-SERVER-HOST'
      }
    },
    kms_tls_options: {
      kmip: {
        ssl_ca_cert: 'PATH-TO-CA-FILE',
        ssl_cert: 'PATH-TO-CLIENT-CERT-FILE',
        ssl_key: 'PATH-TO-CLIENT-KEY-FILE'
      }
    }
  }
)

:schema_map

Um mapa de esquema é um Hash com informações sobre quais campos criptografar e descriptografar automaticamente.

O trecho de código na parte superior deste tutorial demonstra a criação de um mapa de esquema usando um Ruby Hash. Embora isso funcione, os mapas de esquema podem ficar bem grandes e pode ser desajeitado incluí-los em seu código Ruby. Em vez disso, é recomendável armazená-los em um arquivo JSON (JavaScript objeto Notation) separado.

Antes de criar o arquivo JSON, codifique em Base64 o UUID da sua chave de dados.

Base64.encode64(data_key_id.data)
# => "sr6OTtQUwhPD..." (a base64-encoded string)

Em seguida, crie um novo arquivo JSON contendo seu mapa de esquema no formato definido pela sintaxe padrão do JSON schema rascunho 4 . Você pode ler mais sobre como formatar seu mapa de esquema na seção Regras de criptografia automática do manual MongoDB.

{
  "encryption_db.encryption_coll": {
    "properties": {
      "encrypted_field": {
        "encrypt": {
          "keyId": [{
            "$binary": {
              "base64": "YOUR-BASE64-ENCODED-DATA-KEY-ID",
              "subType": "04"
            }
          }],
          "bsonType": "string",
          "algorithm": "AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic"
        }
      }
    },
    "bsonType": "object"
  }
}

Quando você pretende usar seu mapa de esquema, converta-o para um Ruby Hash usando o módulo BSON::ExtJSON na joia Ruby bson .

schema_map = BSON::ExtJSON.parse(File.read('/path/to/your/file.json'))
# => { 'encryption_db.encryption_coll' => { ... } }
Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    schema_map: schema_map,
    # ... (Fill in other options here)
  }
)

:schema_map_path

Também é possível carregar o mapa do esquema de um arquivo. Prepare o mapa do esquema conforme descrito acima, salve-o no arquivo e, em seguida, passe o caminho para o arquivo usando a opção :schema_map_path .

Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    schema_map_path: '/path/to/your/file.json',
    # ... (Fill in other options here)
  }
)

:bypass_auto_encryption

A opção :bypass_auto_encryption é um Boolean que especifica se o Mongo::Client deve ignorar a criptografia ao gravar no reconhecimento de data center. Se :bypass_auto_encryption for true, o cliente ainda executará a descriptografia automática de quaisquer dados criptografados anteriormente.

Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    bypass_auto_encryption: true,
    # ... (Fill in other options here)
  }
)

:extra_options

:extra_options é um Hash de opções relacionadas à criação de mongocryptd. Cada opção neste Hash tem um valor padrão, portanto, só é necessário fornecer as opções cujos padrões você deseja substituir.

• :mongocryptd_spawn_args - Este é um Array<String> contendo argumentos para gerar o mongocryptd. O driver Ruby passará esses argumentos para o mongocryptd ao gerar o daemon. Os possíveis argumentos são:

  • "--idleShutdownTimeoutSecs" - O número de segundos que o mongocryptd deve permanecer inativo antes de se desligar. O valor padrão é 60.

  • "--port" - A porta na qual o mongocryptd escutará as conexões. O padrão é 27020.

• :mongocryptd_uri - O URI que o driver usará para se conectar ao mongocryptd. Por padrão, é "mongodb://localhost:27020".

• :mongocryptd_spawn_path - O caminho para o executável mongocryptd. O padrão é "mongocryptd".

• :mongocryptd_bypass_spawn - Um Boolean indicando se o driver deve ignorar a criação de mongocryptd.

Por exemplo, se você deseja executar o mongocryptd na porta 30000, forneça extra_options da seguinte forma:

  Mongo::Client.new(['localhost:27017],
  auto_encryption_options: {
    extra_options: {
      mongocryptd_spawn_args: ['--port=30000'],
      mongocryptd_uri: 'mongodb://localhost:30000',
    }
    # ... (Fill in other options here)
  }
)