マスタ暗号化キーが漏洩した場合のリスクを軽減するために、マスタ暗号化キーは定期的に変更してください。
ただし、マスタ暗号化キーを変更するためには、Symfoware/RDBを停止する必要があります。

RDBディクショナリ内にある内部暗号化キーは、マスタ暗号化キーを使用して作成しています。
そのため、RDBディクショナリのリカバリ時には、RDBディクショナリのバックアップを取得したときに使用していたマスタ暗号化キーが必要です。

マスタ暗号化キーを紛失した場合、データを復号できなくなります。そのため、マスタ暗号化キーファイルの変更が完了したら、マスタ暗号化キーファイルのバックアップを行ってください。

マスタ暗号化キーは、定期的に変更を行う必要があるため、RDBディクショナリのバックアップと関連づけて管理してください。例えば、マスタ暗号化キーファイルの名前には、作成および変更をした日付を入れておくことを推奨します。

マスタ暗号化キーの変更は、データベースサーバ上でSymfoware/RDBを停止したあと、rdbenckeyコマンドを実行して行います。

RDBディクショナリ内にある内部暗号化キーは、マスタ暗号化キーファイルの配置先を保持しています。そのため、RDBディクショナリをリカバリする際、RDBディクショナリのバックアップ取得時に使用していたマスタ暗号化キーファイルを、そのときの配置先に復元する必要があります。マスタ暗号化キーの変更で配置先を変更すると管理が大変になるため、マスタ暗号化キーファイルの作成先は、作成時と同じディレクトリにしておくことを推奨します。

例

マスタ暗号化キーファイルを、キー管理サーバ上の/symfo/mstkeyディレクトリに、“masterkey20120814.dat”というファイル名で作成する場合

$ rdbenckey -S /symfo/mstkey/masterkey20120814.dat

マスタ暗号化キーのバックアップは、ディスクが破損した場合に備えて、マスタ暗号化キーファイルとは、別のディスクで管理してください。また、RDBディクショナリと同時に盗難されないように、RDBディクショナリのバックアップとも分けて管理してください。

マスタ暗号化キーファイルを復元しやすくするため、同じファイル名を使用することを推奨します。

例

キー管理サーバ上で、バックアップ用ディスクをbackupkeyという名称でマウントしてバックアップする場合

$ cp /symfo/mstkey/masterkey20120814.dat /backupkey/mstkey/.