哎，说起MySQL的数据加密，我真是头大。一开始吧，就觉得这玩意儿跟防盗门似的，装上就万事大吉了。后来啊呢？越研究越觉得它是个坑！复杂不说还经常掉链子。特别是那keyring文件，简直就是个定时炸弹！换个名字，整个数据库就歇菜了… 真的是让人崩溃啊，害...！

MySQL加密的整体思路

MySQL的加密其实吧是分为两部分的。简单来说就是：先说说在keyring file里面存储一系列master_key， 然后使用master_key去加密tablespace_key， 人间清醒。 而tablespace_key才是用来真正加密数据page的。 这种设计吧，是为了支持rotate key。你懂的，钥匙总要换换嘛，不然时间长了容易被破解。

Keyring文件格式详解

现在来具体瞧瞧，先看瞧瞧keyring file格式。该格式是二进制的。无法直接查看。 一句话概括... keyring_file由一系列master_key组成. 格式如下:

• total_length总长度
• key_id_length key_id长度
• key_type_length 加密算法类型
• user_id_length user id长度
• key_length key 的长度

这事儿我可太有发言权了。 虽然看起来有丢丢复杂, 但其实吧就一丢丢信息...我们可以使用如下python代码来解析:

import structfrom import AESkeyring_filename = '/usr/local/mysql/keyring/keyring2'filename = '/data/mysql_3314/mysqldata/db1/'def read_keyring: offset = 24 kd = {} xor_str = '*305=Ljt0*!@$Hnm while True: if data == b'EOF': break total_length, key_id_length, key_type_length, user_id_length, key_length = _from # 注意是小端字节序... offset += 40 key_id = data.decode offset += key_.decode offset += key_.decode offset += key_.decode kd = {'':'} return kdwith open as f:#print)kd = readprint

FSP文件中的Encryption Metadata

我们一起... FSP保存的KEY ID 和这个呼应上了,就取这个KEY.

# crc32c的导入参考:# calculate backend = defaultbackendcipher = Cipher.update) return 

Tablespace Key 的获取与解密

既然tablespace\_key已经获取到了, 那就开始解密吧。

master_= server_= data.decodemaster_= )ase =print print

重要提醒

一些经验教训

弯道超车。 . 注:. . 我测试的时候,, 旧表读取会报错:. : Encryption in datafile can’t be decrypted. Please confirm that keyring is loaded. 做校验的时候,,坑了我一手...... .

SQL示例

CREATE TABLE IF NOT EXISTS testencryption= ) ENCRYPTION ='Y';INSERT INTO testencryption VALUES ;ALTER TABLE testencryption ENCRYPTION ='Y'; 

. MySQL的数据加密功能,, 可能用处不大.. . 如果对平安性要求很高,.. 再说说 强调一下:. . 不然,.