Criptografar uma coluna de dados

Aplica-se a:Banco de Dados SQL dodo AzureInstância Gerenciada SQL do Azuredo Azure Synapse Analyticsdo Analytics Platform System (PDW)Banco de Dados SQL no Microsoft Fabric

Aplica-se a:SQL ServerBanco de Dados SQL do AzureInstância Gerenciada SQL do Azure do Azure Synapse Analytics

Este artigo descreve como criptografar uma coluna de dados usando criptografia simétrica no SQL Server usando Transact-SQL. Isso às vezes é conhecido como criptografia no nível da coluna ou criptografia no nível da célula.

Os exemplos de código neste artigo usam a base de dados de exemplo AdventureWorks2025 ou AdventureWorksDW2025, que pode ser descarregada a partir da página inicial do site Microsoft SQL Server Samples and Community Projects.

Segurança

Permissões

As seguintes permissões são necessárias para executar as etapas abaixo:

• a permissão CONTROL no banco de dados.
• a permissão CREATE CERTIFICATE no banco de dados. Somente logons do Windows, logons do SQL Server e funções de aplicativo podem possuir certificados. Grupos e funções não podem possuir certificados.
• ALTER permissão na mesa.
• Alguma permissão na chave e não deve ter sido negada a permissão VIEW DEFINITION.

Criar chave mestra de banco de dados

Para usar os exemplos a seguir, você deve ter uma chave mestra de banco de dados. Se o seu banco de dados ainda não tiver uma chave mestra de banco de dados, crie uma. Para criar um, conecte-se ao seu banco de dados e execute o script a seguir. Certifique-se de usar uma senha complexa.

Copie e cole o exemplo a seguir na janela de consulta conectada ao banco de dados de exemplo AdventureWorks. Selecione Executar.

CREATE MASTER KEY ENCRYPTION BY   
PASSWORD = '<complex password>';  

Sempre faça backup da chave mestra do banco de dados. Para obter mais informações sobre chaves mestras de banco de dados, consulte CREATE MASTER KEY (Transact-SQL).

Exemplo: Criptografar com criptografia simétrica e autenticador

1. No Pesquisador de Objetos , conecte-se a uma instância do Mecanismo de Banco de Dados.

2. Na barra Padrão, selecione Nova Consulta.

3. Copie e cole o exemplo a seguir na janela de consulta conectada ao banco de dados de exemplo AdventureWorks. Selecione Executar.

   CREATE CERTIFICATE Sales09  
      WITH SUBJECT = 'Customer Credit Card Numbers';  
   GO  
   
   CREATE SYMMETRIC KEY CreditCards_Key11  
       WITH ALGORITHM = AES_256  
       ENCRYPTION BY CERTIFICATE Sales09;  
   GO  
   
   -- Create a column in which to store the encrypted data.  
   ALTER TABLE Sales.CreditCard   
       ADD CardNumber_Encrypted varbinary(160);   
   GO  
   
   -- Open the symmetric key with which to encrypt the data.  
   OPEN SYMMETRIC KEY CreditCards_Key11  
      DECRYPTION BY CERTIFICATE Sales09;  
   
   -- Encrypt the value in column CardNumber using the  
   -- symmetric key CreditCards_Key11.  
   -- Save the result in column CardNumber_Encrypted.    
   UPDATE Sales.CreditCard  
   SET CardNumber_Encrypted = EncryptByKey(Key_GUID('CreditCards_Key11')  
       , CardNumber, 1, HASHBYTES('SHA2_256', CONVERT( varbinary  
       , CreditCardID)));  
   GO  
   
   -- Verify the encryption.  
   -- First, open the symmetric key with which to decrypt the data.  
   
   OPEN SYMMETRIC KEY CreditCards_Key11  
      DECRYPTION BY CERTIFICATE Sales09;  
   GO  
   
   -- Now list the original card number, the encrypted card number,  
   -- and the decrypted ciphertext. If the decryption worked,  
   -- the original number will match the decrypted number.  
   
   SELECT CardNumber, CardNumber_Encrypted   
       AS 'Encrypted card number', CONVERT(nvarchar,  
       DecryptByKey(CardNumber_Encrypted, 1 ,   
       HASHBYTES('SHA2_256', CONVERT(varbinary, CreditCardID))))  
       AS 'Decrypted card number' FROM Sales.CreditCard;  
   GO  
   

Criptografar com criptografia simétrica simples

1. No Pesquisador de Objetos , conecte-se a uma instância do Mecanismo de Banco de Dados.

2. Na barra Padrão, selecione Nova Consulta.

3. Copie e cole o exemplo a seguir na janela de consulta conectada ao banco de dados de exemplo AdventureWorks. Selecione Executar.

    CREATE CERTIFICATE HumanResources037  
      WITH SUBJECT = 'Employee Social Security Numbers';  
   GO  
   
   CREATE SYMMETRIC KEY SSN_Key_01  
       WITH ALGORITHM = AES_256  
       ENCRYPTION BY CERTIFICATE HumanResources037;  
   GO  
   
   USE [AdventureWorks2022];  
   GO  
   
   -- Create a column in which to store the encrypted data.  
   ALTER TABLE HumanResources.Employee  
       ADD EncryptedNationalIDNumber varbinary(128);   
   GO  
   
   -- Open the symmetric key with which to encrypt the data.  
   OPEN SYMMETRIC KEY SSN_Key_01  
      DECRYPTION BY CERTIFICATE HumanResources037;  
   
   -- Encrypt the value in column NationalIDNumber with symmetric   
   -- key SSN_Key_01. Save the result in column EncryptedNationalIDNumber.  
   UPDATE HumanResources.Employee  
   SET EncryptedNationalIDNumber = EncryptByKey(Key_GUID('SSN_Key_01'), NationalIDNumber);  
   GO  
   
   -- Verify the encryption.  
   -- First, open the symmetric key with which to decrypt the data.  
   OPEN SYMMETRIC KEY SSN_Key_01  
      DECRYPTION BY CERTIFICATE HumanResources037;  
   GO  
   
   -- Now list the original ID, the encrypted ID, and the   
   -- decrypted ciphertext. If the decryption worked, the original  
   -- and the decrypted ID will match.  
   SELECT NationalIDNumber, EncryptedNationalIDNumber   
       AS 'Encrypted ID Number',  
       CONVERT(nvarchar, DecryptByKey(EncryptedNationalIDNumber))   
       AS 'Decrypted ID Number'  
       FROM HumanResources.Employee;  
   GO  
   

Próximos passos

• CRIAR CERTIFICADO (Transact-SQL)
• CRIAR CHAVE SIMÉTRICA (Transact-SQL)
• ALTERAR TABELA (Transact-SQL)
• ABRIR CHAVE SIMÉTRICA (Transact-SQL)