pdfsharp c# example : Add links to pdf online application software utility azure winforms .net visual studio twp-transparent-data-encryption-bes-1306960-part293

Oracle White Paper
Transparent Data Encryption Best Practices  
An Oracle White Paper 
July 2012 
Oracle Advanced Security 
Transparent Data Encryption 
Best Practices 
Add links to pdf online - insert, remove PDF links in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Free C# example code is offered for users to edit PDF document hyperlink (url), like inserting and deleting
change link in pdf file; pdf hyperlinks
Add links to pdf online - VB.NET PDF url edit library: insert, remove PDF links in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Help to Insert a Hyperlink to Specified PDF Document Page
adding hyperlinks to pdf documents; pdf link open in new window
Oracle White Paper
Transparent Data Encryption Best Practices  
Introduction ....................................................................................... 1
Important Concepts ........................................................................... 1
Hardware cryptographic acceleration with SPARC T4 and Intel ........ 3
Manage Transparent Data Encryption in Oracle Enterprise Manager 3
Transparent Data Encryption and Oracle Database Vault.................. 4
Transparent Data Encryption Key Architecture .................................. 4
Key Generation and Backup .......................................................... 4
Key Exchange / Rotation ............................................................... 4
TDE Wallet Management................................................................... 5
Directory and File Permissions ...................................................... 5
Avoiding inadvertently deleting the TDE Wallet ............................. 6
(Local) Auto-Open vs. Encryption Wallet ....................................... 7
Strong Wallet Password ................................................................ 7
Split knowledge about the Wallet password ................................... 8
Changing the Wallet Password ...................................................... 9
Multiple databases on the same host ............................................. 9
TDE Tablespace Encryption ............................................................ 10
Applications certified for TDE Tablespace Encryption .................. 10
Moving Your Application Data to Encrypted Tablespaces ............ 10
Tablespace Re-Key Restrictions in Oracle Database 11gR1 ....... 11
TDE Column Encryption .................................................................. 12
Oracle Application certified for TDE Column Encryption .............. 12
C# PDF Convert to HTML SDK: Convert PDF to html files in C#.net
HTML converter toolkit SDK, preserves all the original anchors, links, bookmarks and to Use C#.NET Demo Code to Convert PDF Document to Add necessary references
add hyperlinks pdf file; pdf edit hyperlink
.NET PDF Document Viewing, Annotation, Conversion & Processing
Edit, delete text from PDF. Insert images into PDF. Edit, remove images from PDF. Add, edit, delete links. Form Process. Fill in form data programmatically.
add links to pdf online; clickable links in pdf
Oracle White Paper
Transparent Data Encryption Best Practices  
Identifying Sensitive Columns ...................................................... 13
Encrypting indexed columns ........................................................ 13
Reducing the storage overhead ................................................... 14
Encrypting Columns in Gigabyte and Terabyte Tables ................ 15
Disabling and re-enabling Transparent Data Encryption .............. 15
TDE Tablespace Encryption or TDE Column Encryption? ........... 15
Clear-Text Copies of Encrypted Data .............................................. 16
Attestation ....................................................................................... 17
Oracle Data Guard .......................................................................... 17
Physical Standby ......................................................................... 17
Logical Standby ........................................................................... 18
Oracle Streams ........................................................................... 18
Active Data Guard ....................................................................... 18
Oracle Transparent Data Encryption and Oracle GoldenGate ......... 19
Oracle GoldenGate and TDE with a (local) auto-open wallet ....... 19
Oracle Transparent Data Encryption and Oracle RMAN .................. 19
Real Application Clusters (RAC) ...................................................... 20
Oracle Wallet management in Oracle RAC .................................. 20
Protecting the Oracle Wallet with ACFS access controls ............. 21
Oracle Database Appliance ......................................................... 23
Exadata Database Machine ............................................................. 24
VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.
Turn PDF images to HTML images in VB.NET. Embed PDF hyperlinks to HTML links in VB.NET. Convert PDF to HTML in VB.NET Demo Code. Add necessary references:
adding links to pdf document; change link in pdf
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
the original text style (including font, size, color, links and boldness). C#.NET DLLs and Demo Code: Convert PDF to Word Document in C# Add necessary references
accessible links in pdf; pdf hyperlink
Oracle White Paper
Transparent Data Encryption Best Practices  
Introduction 
This paper provides best practices for using Oracle Advanced Security Transparent Data 
Encryption (TDE).  Oracle Advanced Security TDE provides the ability to encrypt 
sensitive application data on storage media completely transparent to the application 
itself.  TDE addresses encryption requirements associated with public and private privacy 
and security mandates such as PCI and California SB1386.  Oracle Advanced Security 
TDE column encryption was introduced in Oracle Database 10g Release 2, enabling 
encryption of application table columns, containing credit card or social security numbers.  
Oracle Advanced Security TDE tablespace encryption was introduced with Oracle 
Database 11gR1. 
Important Concepts 
Master encryption key – The encryption key used to encrypt secondary data encryption keys 
used for column encryption and tablespace encryption.  Master encryption keys are part of the 
Oracle Advanced Security two-tier key architecture. 
Unified master key – The unified master encryption key is generated with the first re-key 
operation in an Oracle Database 11g Release 2.  The unified master key can be easily re-keyed 
(rotated). 
Table key – Sometimes referred to as a column key, this key is used to encrypt one or more 
specific columns in a given table.  Table keys were introduced in Oracle Database 10g Release 2.  
These keys are stored in the Oracle data dictionary, encrypted with the master encryption key. 
Tablespace key – The key used to encrypt a tablespace.  These keys are encrypted using the 
master key and are stored in the tablespace header of the encrypted tablespace, as well as in the 
header of each operating system - file that belongs to the encrypted tablespace. 
Wallet – A PKCS#12 formatted file outside of the database, encrypted based on password-
based encryption as defined in PKCS#5.  Used to store the TDE master key. 
C# Create PDF Library SDK to convert PDF from other file formats
PDF with a blank page, bookmarks, links, signatures, etc. PDF document in C#.NET using this PDF document creating toolkit, if you need to add some text
pdf links; add link to pdf
C# Image: Tutorial for Document Management Using C#.NET Imaging
more detailed C# tutorials on each part by following the links respectively are dedicated to provide powerful & profession imaging controls, PDF document, image
chrome pdf from link; adding a link to a pdf
Oracle White Paper
Transparent Data Encryption Best Practices  
Advanced Encryption Standard (AES) – A symmetric cipher algorithm defined in the Federal 
Information Processing (FIPS) standard no. 197.  AES provides 3 approved key lengths: 256, 
192, and 128 bits. 
VB.NET PDF: Basic SDK Concept of XDoc.PDF
You may add PDF document protection functionality into your VB.NET program. to edit hyperlink of PDF document, including editing PDF url links and quick
add a link to a pdf file; add hyperlinks to pdf
How to C#: Basic SDK Concept of XDoc.PDF for .NET
You may add PDF document protection functionality into your C# program. to edit hyperlink of PDF document, including editing PDF url links and quick
add links to pdf document; pdf link to attached file
Oracle White Paper
Transparent Data Encryption Best Practices  
Hardware cryptographic acceleration with SPARC T4 and Intel 
Hardware cryptographic acceleration for TDE tablespace encryption is available with Intel
®
CPUs with AES-NI, a set of N
ew I
nstructions for the A
dvanced E
ncryption S
tandard.  Oracle 
Database 11gR2 (11.2.0.2) TDE tablespace encryption automatically detects and leverages the 
hardware-based cryptographic acceleration for decryption of data; for hardware accelerated 
encryption, patch 10296641
is required.  With Oracle Database 11.2.0.3, hardware crypto 
acceleration support is extended to Solaris 11 x64 on Intel CPUs with AES-NI, as well as  
Solaris 11 SPARC on T4.  Hardware cryptographic acceleration for TDE column encryption is 
not supported. 
CPU TYPE 
ORACLE DATABASE 11.2.0.2 
(PATCH 10296641
REQUIRED) 
ORACLE DATABASE 11.2.0.3 
Intel
®
with AES-NI 
(all CPUs with AES-NI
Oracle Linux 
Exadata X2, 
Database Appliance(*), 
any other deployments of 11.2.0.2 on Linux and 
Intel with AES-NI 
Oracle Solaris 11 Express with bundle patch 11 only in 
Exadata X2 (11.2.2.4). 
No other deployments as 11.2.0.2 is not certified for 
Solaris 11 Express 
Adding Solaris 11 x64 
SPARC T4 
Solaris 11 SPARC: 
SPARC SuperCluster, 
any other deployment of 11.2.0.3 
on Solaris 11 SPARC and T4 
(*): Patch 10296641 is included in Oracle Database 11.2.0.2.4, which is the patch level used in the 
Oracle Database Appliance. 
Manage Transparent Data Encryption in Oracle Enterprise 
Manager 
Most database maintenance and configuration tools are integrated in a convenient, easy-to-use 
Web interface called Enterprise Manager.  Oracle Enterprise Manager Database Control is 
installed by default and used to manage a single, local database instance.  Oracle Enterprise 
Manager Grid Control is an infrastructure that allows monitoring, configuring and maintaining 
many distributed databases from one central console. 
The following command starts Oracle Enterprise Manager Database Control: 
$ emctl start dbconsole 
Oracle White Paper
Transparent Data Encryption Best Practices  
Point your Browser to 
https://<hostname>:<port>/em
and provide user name and 
password of the user with sufficient privileges to manage a database, for example ‘
SYSTEM
’. 
On the main page of Oracle Enterprise Manager Database Control, click on the ‘
Server
’ tab, on 
the following page, click on ‘
Transparent Data Encryption
’ within the ‘
Security
’ group 
to reach the Transparent Data Encryption homepage. 
Transparent Data Encryption and Oracle Database Vault 
If your database is protected with Oracle Database Vault, separation of duties is enforced that 
includes controlling the authorizations of users in Enterprise Manager.  In order to enable 
SYSTEM
’ to manage Transparent Data Encryption, ‘
SYSTEM
’ has to be a ‘
Participant
’ or 
Owner
’ of the ‘
Data Dictionary Realm
’ in Oracle Database Vault.  This change needs to be 
done by a user with the Database Vault ‘
owner
’ role.  Oracle recommends using customized 
DBA roles for individual users that match your security needs, instead of the powerful ‘
SYSTEM
’ 
user.  These customized DBA roles may or may not need to be a ‘
Participant
’ or ‘
Owner
’ of 
the ‘
Data Dictionary Realm
’, depending on their permissions. 
Transparent Data Encryption Key Architecture 
Encryption keys are the secrets used in combination with an encryption algorithm to encrypt 
data.  Oracle Advanced Security TDE uses a two tier encryption key architecture, consisting of a 
master key and one or more table and/or tablespace keys.  The table and tablespace keys are 
encrypted using the master key.  The master key is stored in the Oracle Wallet. 
Key Generation and Backup 
The TDE master key, stored in the Oracle Wallet, is generated by Oracle during the initial 
configuration of TDE.  The master key is generated using a pseudo-random number generator 
inside the Oracle database. 
Always backup the wallet associated with the master key 
immediately after it is initially created,  
whenever the master key is changed, and  
before changing the wallet password. 
The wallet is a critical component and should be backed up in a secure location, on-site and 
offsite. 
Key Exchange / Rotation 
Oracle White Paper
Transparent Data Encryption Best Practices  
In TDE column encryption, both the master key and table keys can be individually re-keyed, 
providing for a granular implementation of various security policies.  Re-keying of the master key 
does not impact performance or availability of your application, because it requires only 
decryption and re-encryption of the table keys and not the associated encrypted application data.  
Re-keying the table keys requires careful planning, since associated application data must first be 
decrypted and subsequently re-encrypted using the new table encryption key.  Changing the table 
keys would be equivalent to performing a full table update.  After upgrading to Oracle 
Database 11gR1, performing a TDE master key re-key operation will transparently create a 
separate TDE tablespace encryption master key in the Oracle Wallet.  Tablespaces created using 
the 
ENCRYPT
syntax will have any associated data files encrypted using the tablespace key stored 
in each tablespace header.  The tablespace key itself will be encrypted using the new tablespace 
master key.  After upgrading to Oracle Database 11g Release 2, performing a TDE master 
key re-key operation will either merge the two existing master keys to a unified master encryption 
key, or create a new unified master encryption key.  The unified master encryption key is used for 
both TDE column encryption and TDE tablespace encryption, and it can be easily re-keyed. 
Note the restriction in Oracle Database 11gR1 that tablespace master keys and tablespace keys 
cannot be re-keyed.  If a re-key is required for a given encrypted tablespace, Oracle recommends 
moving the data to a new encrypted tablespace.  Please see the section on tablespace re-key 
restrictions on page 9 for recommendations on moving data to a new tablespace to achieve a re-
key operation.  Oracle Database 11g Release 2 allows the rotation of the unified master 
encryption key. 
RE-KEY SUPPORT 
TDE COLUMN ENCRYPTION 
TDE TABLESPACE ENCRYPTION 
Master Key 
Table Keys 
Master Key 
Tablespace Keys 
Oracle Database 10gR2 
Yes 
Yes 
n/a 
n/a 
Oracle Database 11gR1 
Yes 
Yes 
No 
No 
Oracle Database 11g Release 2 
Yes (*) 
Yes 
Yes (*) 
No 
(*): Unified master encryption key for TDE column encryption and TDE tablespace encryption 
TDE Wallet Management 
Directory and File Permissions 
When using the Oracle Wallet, Oracle recommends restricting the associated file and directory 
permissions.  In addition, a strong password should be used when setting up the wallet.  The 
Oracle Wallet is the default external security module used to store the (unified) TDE master 
Oracle White Paper
Transparent Data Encryption Best Practices  
encryption key(s).  Oracle recommends placing the Oracle Wallet outside of the 
$ORACLE_BASE
directory tree to avoid accidentally storing the wallet with the encrypted data on a backup tape, 
for example: 
/etc/ORACLE/WALLETS/<$ORACLE_UNQNAME> 
Since 
/etc
is owned by ‘
root
’, these directories are created by ‘
root
’; when done, change 
ownership to ‘
oracle:oinstall
’ and set the permissions to ‘
oracle
’ only: 
# cd /etc 
# mkdir –pv ORACLE/WALLETS/DB01 
# chown –R oracle:oinstall ORACLE 
# chmod –R 700 ORACLE 
Set the 
ENCRYPTION_WALLET_LOCATION
parameter in 
sqlnet.ora
to the newly created 
directory: 
ENCRYPTION_WALLET_LOCATION = 
(SOURCE = (METHOD = FILE) 
(METHOD_DATA = 
(DIRECTORY = /etc/ORACLE/WALLETS/$ORACLE_UNQNAME/))) 
Initialize the wallet and add the master encryption key using Enterprise Manager or the 
SQL*Plus
command line interface: 
SQL> alter system set encryption key identified by “password”; 
After successful creation of the wallet and master key, reduce permissions on the wallet file from 
the initial value, determined by ‘
umask
’ for the ‘
oracle
’ user, to: 
$ cd /etc/ORACLE/WALLETS/<$ORACLE_UNQNAME> 
$ chmod 600 ewallet.p12 
It is highly recommended to always backup the wallet at the same time when backing up your 
database, but do not include the wallet on the same media as the database backup.  Also, backup 
the wallet before any manipulation of its content, whether performing a master key re-key 
operation, or changing the wallet password. 
Avoiding inadvertently deleting the TDE Wallet 
In order to protect the Oracle TDE Wallets from being inadvertently deleted, make them 
‘immutable’ (Linux on ext2, ext3 and ext4 file systems; OCFS). 
After initially creating the encryption wallet (and optionally a (local) auto-open wallet), navigate 
to the directory that stores the Oracle Wallet and set the ‘immutable’ bit with: 
# chattr +i ewallet.p12 
# chattr +i cwallet.sso 
Oracle White Paper
Transparent Data Encryption Best Practices  
Any attempt to delete the wallet (by root or any other user) fails; re-key operations that write to 
the wallets will fail as well, so for re-key operations, the ‘immutable’ bit must be unset: 
# chattr -i ewallet.p12 
# chattr -i cwallet.sso 
After a successful re-key operation, turn the ‘immutable’ bit back on. 
In Solaris 10 and Solaris 11, the command to set or unset the immutable bit on ZFS is: 
# chmod S+ci ewallet.p12   
# chmod S-ci ewallet.p12 
# chmod S+ci cwallet.sso   
# chmod S-ci cwallet.sso 
(Local) Auto-Open vs. Encryption Wallet 
The encrypted wallet (‘
ewallet.p12
’) offers strong protection of the master key, by encrypting 
the wallet with the wallet password, following the PKCS#5 standard for password-based 
encryption.  Opening the wallet is a manual operation and must be performed to make the 
master encryption key available to the database.  Optionally, the master key can be copied into an 
‘auto-open’ wallet.  This can be done either using Oracle Enterprise Manager, Oracle Wallet 
Manager or the ‘
orapki
’ utility: 
$ orapki wallet create –wallet <wallet_location> -auto_login 
This command creates an auto-open wallet (‘
cwallet.sso
’).  In order to significantly 
strengthen your security when using an auto-open wallet, a local auto-open wallet can be created, 
starting with Oracle Database 11.1.0.7; it does not open on any machine other than the one it 
was created on: 
$ orapki wallet create –wallet <wallet_location> -auto_login_local 
It is not possible to use a local auto-open wallet in Oracle RAC when the wallet is to be stored 
centrally in ACFS. 
Backup the auto-open wallet in a separate location from the encrypted data.  Storing the auto-
open wallet with the encrypted data provides no security, since the wallet and data on a stolen or 
misplaced tape or disk would have no protection. 
Strong Wallet Password 
The wallet password is critical to providing strong security.  If the wallet password is 
compromised, someone with access to the operating system could simply copy the database files 
and wallet and use the wallet password to make the master key available to a database and 
decrypt the encrypted application data.  It is easy to see that the password needs to be strong, yet 
Important - Do not delete the original encryption wallet.  Re-keying the master key requires the original encryption wallet to be 
present.  When the master key is re-keyed, the corresponding (local) auto-open wallet is updated automatically. 
Documents you may be interested
Documents you may be interested