Autoriser le mixage cleartext et des données cryptées dans vos tables Autoriser les valeurs répétées dans fingerprint columns Assouplir les restrictions sur la manière de procéder fingerprint les colonnes sont nommées Déterminer comment NULL les valeurs sont représentées

Considérations relatives à l'utilisation du calcul cryptographique pour Clean Rooms

Informatique cryptographique pour Clean Rooms (C3R) cherche à optimiser la protection des données. Toutefois, certains cas d'utilisation peuvent bénéficier de niveaux inférieurs de protection des données en échange de fonctionnalités supplémentaires. Vous pouvez faire ces compromis spécifiques en modifiant C3R à partir de sa configuration la plus sécurisée. En tant que client, vous devez être conscient de ces compromis et déterminer s'ils sont adaptés à votre cas d'utilisation. Les compromis à prendre en compte sont les suivants :

Rubriques

Autoriser le mixage cleartext et des données cryptées dans vos tables
Autoriser les valeurs répétées dans fingerprint columns
Assouplir les restrictions sur la manière de procéder fingerprint les colonnes sont nommées
Déterminer comment NULL les valeurs sont représentées

Pour plus d'informations sur la façon de définir les paramètres de ces scénarios, consultezParamètres de calcul cryptographique.

Autoriser le mixage cleartext et des données cryptées dans vos tables

Le chiffrement de toutes les données côté client garantit une protection maximale des données. Cela limite toutefois certains types de requêtes (par exemple, le SUM fonction d'agrégation). Le risque d'autoriser cleartext les données indiquent qu'il est possible que toute personne ayant accès aux tables cryptées puisse déduire certaines informations sur les valeurs cryptées. Cela pourrait être fait en effectuant une analyse statistique sur le cleartext et les données associées.

Par exemple, imaginez que vous disposiez des colonnes de City etState. La City colonne est cleartext et la State colonne est cryptée. Lorsque vous voyez la valeur Chicago dans la City colonne, cela vous permet de déterminer avec une forte probabilité que State c'est le casIllinois. En revanche, si une colonne est City et l'autre l'estEmailAddress, un cleartext Cityest peu susceptible de révéler quoi que ce soit à propos d'un cryptageEmailAddress.

Pour plus d'informations sur le paramètre de ce scénario, consultezAutorisation cleartext paramètre de colonnes.

Autoriser les valeurs répétées dans fingerprint columns

Pour l'approche la plus sûre, nous supposons que toute fingerprint La colonne contient exactement une instance d'une variable. Aucun élément ne peut être répété dans un fingerprint colonne. Le client de chiffrement C3R les mappe cleartext valeurs en valeurs uniques impossibles à distinguer des valeurs aléatoires. Par conséquent, il est impossible de déduire des informations sur le cleartext à partir de ces valeurs aléatoires.

Le risque de valeurs répétées dans un fingerprint La colonne indique que les valeurs répétées se traduiront par des valeurs répétées d'apparence aléatoire. Ainsi, toute personne ayant accès aux tables cryptées pourrait, en théorie, effectuer une analyse statistique des fingerprint colonnes susceptibles de révéler des informations sur cleartext valeurs.

Encore une fois, supposons que fingerprint la colonne estState, et chaque ligne du tableau correspond à un ménage américain. En effectuant une analyse de fréquence, on pourrait déduire quel état est California et lequel est Wyoming avec une probabilité élevée. Cette inférence est possible car il California compte beaucoup plus de résidents que. Wyoming En revanche, disons que fingerprint la colonne porte sur un identifiant de ménage et chaque ménage est apparu dans la base de données entre 1 et 4 fois dans une base de données de millions d'entrées. Il est peu probable qu'une analyse de fréquence révèle des informations utiles.

Pour plus d'informations sur le paramètre de ce scénario, consultezParamètre Autoriser les doublons.

Assouplir les restrictions sur la manière de procéder fingerprint les colonnes sont nommées

Par défaut, nous supposons que lorsque deux tables sont jointes de manière cryptée fingerprint colonnes, ces colonnes ont le même nom dans chaque table. La raison technique de ce résultat est que, par défaut, nous dérivons une clé cryptographique différente pour chiffrer chaque fingerprint colonne. Cette clé est dérivée d'une combinaison de la clé secrète partagée pour la collaboration et du nom de colonne. Si nous essayons de joindre deux colonnes portant des noms de colonne différents, nous dérivons des clés différentes et nous ne pouvons pas calculer une jointure valide.

Pour résoudre ce problème, vous pouvez désactiver la fonctionnalité qui déduit les clés du nom de chaque colonne. Ensuite, le client de chiffrement C3R utilise une seule clé dérivée pour tous fingerprint colonnes. Le risque est qu'un autre type d'analyse de fréquence puisse être effectué qui pourrait révéler des informations.

Utilisons à nouveau l'Stateexemple City et. Si nous dérivons les mêmes valeurs aléatoires pour chaque fingerprint colonne (en n'incorporant pas le nom de la colonne). New Yorkpossède la même valeur aléatoire dans les State colonnes City et. New York est l'une des rares villes des États-Unis où le City nom est le même que le State nom. En revanche, si votre ensemble de données contient des valeurs complètement différentes dans chaque colonne, aucune information n'est divulguée.

Pour plus d'informations sur le paramètre de ce scénario, consultezAutorisation JOIN paramètre de colonnes avec des noms différents.

Déterminer comment NULL les valeurs sont représentées

L'option qui s'offre à vous est de savoir s'il faut procéder à un traitement cryptographique (chiffrement et HMAC) NULL des valeurs comme n'importe quelle autre valeur. Si vous ne traitez pas NULL valeurs comme toute autre valeur, des informations peuvent être révélées.

Supposons, par exemple, que NULL dans la Middle Name colonne du cleartext indique les personnes sans deuxième prénom. Si vous ne chiffrez pas ces valeurs, vous divulguez les lignes de la table cryptée qui sont utilisées pour les personnes sans deuxième prénom. Ces informations peuvent être un signal d'identification pour certaines personnes dans certaines populations. Mais si vous effectuez un traitement cryptographique NULL valeurs, certaines requêtes SQL agissent différemment. Par exemple, GROUP BY les clauses ne seront pas groupées fingerprint NULL valeurs dans fingerprint colonnes ensemble.

Pour plus d'informations sur le paramètre de ce scénario, consultezPréserver NULL paramètre de valeurs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Informatique cryptographique

Types de fichiers et de données pris en charge