D’Amo DA-Sybase Installation Guide 펜타시큐리티시스템 | 2013.04

D’Amo DA-Sybase Installation Guide 목차 1. D’Amo DA-Sybase 설치 준비 1.1 D’Amo DA-Sybase 설치 패키지 구성 2. D’Amo DA-Sybase 설치 2.1 D’Amo DA-Sybase 장비 설치 및 설정 순서 2.2 환경 변수 설정 2.3 DA-Sybase 패키지 파일 복사 2.4 라이브러리 파일 및 실행파일에 권한 부여 2.5 Sql 파일 생성 2.6 SCP 계정 생성 2.7 함수 설치 2.8 설정파일 수정 2.9 CLI에서 암복호화 권한 설정 3. D’Amo DA-Sybase 설치 확인 3.1 암호화 테스트 3.2 복호화 테스트 D’Amo DA-Sybase Installation Guide

1. D’Amo DA-Sybase 설치 준비

D’Amo DA-Sybase 설치 패키지에 대해 설명합니다. Step 1 D’Amo DA-Sybase 설치 준비 D’Amo DA-Sybase 설치 패키지에 대해 설명합니다. D’Amo DA-Sybase Installation Guide

Step 1. D’Amo DA-Sybase 설치 패키지 1. Library 파일 libdamoscpdb.so : DA에서 사용하는 라이브러리 파일 libscpdb_agent.so : Agent 연동을 위한 라이브러리 파일 libcis_cc-3.1.so : 국정원 검증필 암호화 모듈 libcis_ce-3.1.so : 국정원 검증필 암호화 모듈 2. sql 파일 001.inner_function.sybase 파일 : 암복호화 UDF (User Defined Function) 생성 sql 002.user_interface.sybase 파일 : 사용자 편의를 위해 추가된 인터페이스 함수 생성 sql 003.grant_execute_functions.sql 파일 : 추가된 사용자 함수에 권한 부여 sql 009.da_test.sql 파일 : 테스트 sql install_make.sh 파일 : 추가된 사용자 함수를 고객 환경에 맞춰 사용할 수 있도록 설정하는 스크립트 파일 3. 설정 파일 DA Encryption 설치 시 설정파일의 값을 설정하여 DA Encryption을 구동하는데 사용합니다. 설정 파일에는 서버 IP와 Port 및 라이선스, 키 파일의 PATH등을 설정 할 수 있습니다. 파일 이름 : scpdb_agent.ini D’Amo DA-Sybase Installation Guide

Step 1. D’Amo DA-Sybase 설치 패키지 5. Agent Key 파일 KMS 연동 환경 : KMS 매뉴얼을 참고하여 Agent 키쌍을 발급 받습니다. SCP 파일 연동 환경 : 설치 파일과 함께 제공하는 _TestAgentKeyPair 폴더의 Agent 키쌍을 사용 합니다. damo_agt.cer damo_agt.key damo_agt.pin 6. acl_cli 파일 DB의 USER 별로 암복호화 권한을 설정하는데 사용되는 파일입니다. 7. privilege.damo 정책 파일 acl_cli 에서 설정된 권한을 저장하는데 사용되는 파일입니다. D’Amo DA-Sybase Installation Guide

2. D’Amo DA-Sybase 설치

D’Amo DA-Sybase 설치 과정에 대해 설명합니다 . Step 2 D’Amo DA-Sybase 설치 D’Amo DA-Sybase 설치 과정에 대해 설명합니다 . D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 패키지 파일복사 3. 라이브러리 파일 및 실행파일에 권한부여 1. 환경변수 설정 디렉토리 생성 및 파일복사 4. Sql 파일 생성 5. SCP 계정 생성 8. CLI에서 암복호화 권한 설정 7. 설정파일 수정 6. 함수 설치 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.2 환경 변수 설정 DA-Sybase를 설치할 OS User의 환경변수를 설정합니다. 본 가이드에서는 OS의 dbms_api 계정으로 DA-Sybase를 설치합니다. SCP_INST_HOME 환경변수에 DA Encryption을 설치할 경로를 설정합니다. SCP_INST_HOME 환경변수는 DA-Sybase가 설치될 홈 디렉토리로 지정합니다. 환경변수를 설정할 파일 이름과 환경변수 명은 다음과 같습니다. 설정 변수 확인 DA-Sybase 설치 계정은 고객의 시스템 환경별로 결정합니다. 설치 계정은 root 계정이 될 수도 있고, Sybase 계정이 될 수도 있습니다. 본 가이드는 고객의 Sybase 계정을 DA-Sybase 설치 계정으로 사 용하시기를 권고합니다. ! ! 환경변수 설정 파일명 환경변수 설정 ! DA-Sybase 설치 디렉토리는 고객의 환경에 맞게 설정하며, 고객의 환경에 따라 본 가이드와 다르게 설정 될 수 있습니다. 본 가이드는 /home/dbms_api를 설치 홈디렉토리로 지정함 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 1. D’Amo DA-Sybase 설치를 위해 DA-Sybase 설치에 사용될 디렉토리를 생성합니다. 환경변수 $SCP_INST_HOME과 동일한 위치에 디렉토리명을 “sql”, “key”, “log” 로 하여 빈 디렉토리를 생성합니다. 생성한 log 디렉토리에 touch 명령어로 파일명이 “.lock” 인 빈 파일을 생성합니다. ! mkdir 명령어로 디렉토리 생성 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2. DA-Sybase 설치 패키지 파일을 $SCP_INST_HOME에 복사합니다. acl_cli, libcis_cc-3.1.so, libcis_ce-3.1.so, libdamoscpdb.so, libscpdb_agent.so, scpdb_agent.ini, license.cer, privilege.damo 파일을 $SCP_INST_HOME 위치에 복사합니다. 설치 패키지 파일들을 $SCP_INST_HOME 에 복사 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 3. $SYBASE/$SYBASE_ASE/lib 디렉토리에 library 파일의 symbolic link 파일을 생성합니다. Sybase DB에서 DA-Sybase 암복호화 라이브러리를 사용할 수 있도록 DA-Sybase 라이브러리 파일의 심볼릭 링크를 Sybase의 lib 디렉토리에 생성합니다. Sybase DB의 라이브러리 디렉토리 확인 Sybase lib로 symbolic link 파일 생성 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 링크 파일 생성 확인 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 4. Agent key쌍(damo_agt.cer, damo_agt.key, damo_agt.pin) 파일을 $SCP_INST_HOME/key 디렉토리에 복사합니다. 5. 설치 전 준비사항의 sql 파일을 $SCP_INST_HOME/sql 디렉토리에 복사합니다.  키 파일 복사  sql 파일 복사 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.4 라이브러리 파일 및 실행파일에 권한 부여 라이브러리 파일 및 실행 파일에 실행권한을 부여합니다.  설치 패키지 파일의 owner에게 실행권한 부여 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.5 Sql 파일 생성 1. $SCP_INST_HOME/sql 디렉토리에서 install_make.sh을 이용하여 설치할 sql 파일을 생성합니다. 다음은 sql 파일 생성 방법입니다. D_INI 는 설정 초기화 파일(scpdb_agent.ini)의 경로이고, D_DBNAME 과 D_AGTID 는 agent key쌍 발급시 이용한 DB NAME 과 AGENT ID 입니다. $> cd $SCP_INST_HOME/sql $> ./install_make.sh D_INI D_DBNAME D_AGTID 예) DB NAME을 DB1, AGENT ID를 AGT1 로 가정한다. $> ./install_make.sh /home/dbms_api DB1 AGT1 D_INI_PATH is replaced by /home/dbms_api D_DBNAME is replaced by DB1 D_AGTID is replaced by AGT1 (sql 파일 생성 예시 ) 설정 초기화 파일 경로 본 가이드에서는 DA-Sybase 설치 홈 디렉토리로 지정합니다. D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.5 Sql 파일 생성 2. 001.inner_function.sybase.sql 파일, 002.user_interface.sybase.sql 파일의 생성 여부와 내용을 확인합니다. D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.6 SCP 계정 생성 DB 사용자 SCP 데이터베이스 및 계정을 생성하는 것을 권고하며 SCP 사용자에게 SA 권한을 부여합니다. scp DB를 생성하기 위해 디바이스를 생성해 줍니다. 디바이스 생성시 physname은 물리적인 device 파일이 저장될 위치를 지정해 줍니다. Size는 device파일의 사이즈를 의미하며 기본적으로 단위는 KB 단위를 사용합니다. D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.6 SCP 계정 생성 scp DB를 생성하며, SCP 사용자에게 SA 권한을 부여합니다. scp DB 생성 DB 사용자 계정인 scp 유저 생성 scp 유저에게 SA 권한 부여 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.7 함수 설치 $SCP_INST_HOME/sql 위치에서 DB 접속 후 설치를 원하는 DB계정에 LIBRARY 와 함수를 설치합니다. 본 가이드는 scp 계정에 Library와 함수를 설치합니다. 설치 후 특정 DB 사용자에게 함수 실행 권한을 부여합니다. 모든 사용자에게 함수 실행 권한을 부여할 때는 003.grant_execute_functions.sql 파일을 실행합니다. D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.8 설정파일 수정 $SCP_INST_HOME 디렉토리에 있는 DA Encryption 설정 파일(scpdb_agent.ini) 중 ServerIP, ServerPort, AgentIP, LicenseFilePath, [AGENT_ID], CertFilePath, KeyFilePath, PinFilePath 값을 고객 환경에 맞게 수정합니다. D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.9 CLI에서 암복호화 권한 설정 CLI를 사용하여 User 단위로 암복호화 권한을 설정할 수 있습니다. 암복호화 권한 설정 방법은 다음과 같습니다. acl_cli 를 실행합니다. acl_cli 실행 damo_agt.key의 Password를 입력합니다. D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.9 CLI에서 암복호화 권한 설정 acl_cli 사용법을 확인하기 위해 “help”를 입력합니다. help 명령어 입력 D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.9 CLI에서 암복호화 권한 설정 KMS 연동시 CLI 권한 설정 방법과 SCP 파일 연동시 CLI 권한 설정 방법의 차이는 다음과 같습니다. 고객의 환경에 맞게 CLI 권한 설정 방법을 숙지하여 올바르게 설정해야 합니다. (KMS 연동시 CLI 권한 설정 방법) (SCP 파일 연동시 CLI 권한 설정 방법) $> ./acl_cli –start Enter the PIN of CLI-key. : damo_agt.key 의 passwd 권한 추가할 경우 D'Amo > SET PRIV ENC USER"OWNER"TABLE"COLUMN"1"1 D'Amo > SAVE ALL D'Amo > SHOW ALL 권한 삭제할 경우 D'Amo > DEL PRIV ENC USER"OWNER"TABLE"COLUMN $> ./acl_cli –start Enter the PIN of CLI-key. : damo_agt.key 의 passwd 권한 추가할 경우 D'Amo > SET PRIV ENC USER"DAMO"SCP".SCP파일"1"1 D'Amo > SAVE ALL D'Amo > SHOW ALL 권한 삭제할 경우 D'Amo > DEL PRIV ENC USER"DAMO"SCP".SCP파일 SCP 파일 연동환경에서 권한 추가시 OWNER명, TABLE명, COLUMN명에 반드시 DAMO, SCP, .SCP파일 명으로 추가하여야 합니다. CLI 에서 권한을 추가하거나 삭제 한 경우 반드시 SAVE ALL 명령어를 실행하며 SHOW ALL 명령어를 이 용하여 적용 여부를 확인해야 합니다. ! ! ! D’Amo DA-Sybase Installation Guide

Step 2. D’Amo DA-Sybase 설치 2.9 CLI에서 암복호화 권한 설정 KMS 연동시 CLI 권한 설정 방법과 SCP 파일 연동시 CLI 권한 설정 방법의 차이는 다음과 같습니다. 고객의 환경에 맞게 CLI 권한 설정 방법을 숙지하여 올바르게 설정해야 합니다. (SCP 파일 연동시 CLI 권한 설정 방법 예시 ) D’Amo DA-Sybase Installation Guide

3. D’Amo DA-Sybase 설치 확인

설치 후 암복호화 테스트를 통해 설치가 잘 되었는지 확인합니다. Step 3 DA-Sybase 설치 확인 설치 후 암복호화 테스트를 통해 설치가 잘 되었는지 확인합니다. D’Amo DA-Sybase Installation Guide

D’Amo DA-Sybase Installation Guide Step 3. DA-Sybase 설치 확인 3.1 암호화 테스트 암호화 함수 실행 권한을 부여한 DB 사용자 계정에서 암호화 함수를 호출하여 설치 성공을 확인합니다. KMS 연동 환경 : OWNER 는 암호 테이블의 소유자, TABLE 은 암호 테이블명, COLUMN 은 암호 컬럼명입니다. SCP 파일 연동 환경 : 함수 입력 매개변수인 I_OWNER 는 DAMO, I_TABLE 은 SCP, I_COLUMN 은 .SCP 파일명입니다. 1> SELECT scp.dbo.ENC_STR( 'OWNER', 'TABLE', 'COLUMN', 'abc') 2> go -----------------------------------------------------5E41ACD673653158D7AE8C30CDA9627D3556E173 1> SELECT scp.dbo.ENC_STR( 'DAMO', 'SCP', 'CBC_FIXED_Key_AES_128.SCP', 'abc') 2> go -----------------------------------------------------5E41ACD673653158D7AE8C30CDA9627D3556E173 D’Amo DA-Sybase Installation Guide

D’Amo DA-Sybase Installation Guide Step 3. DA-Sybase 설치 확인 3.1 암호화 테스트 다음은 SCP 파일 환경에서의 암호화 테스트 예시입니다. 암호화 된 테스터 데이터 (‘abc’) 값 D’Amo DA-Sybase Installation Guide

D’Amo DA-Sybase Installation Guide Step 3. DA-Sybase 설치 확인 3.2 복호화 테스트 복호화 함수 실행 권한을 부여한 DB 사용자 계정에서 복호화 함수를 호출하여 설치 성공을 확인합니다. KMS 연동 환경 : OWNER 는 암호 테이블의 소유자, TABLE 은 암호 테이블명, COLUMN 은 암호 컬럼명입니다. SCP 파일 연동 환경 : 함수 입력 매개변수인 I_OWNER 는 DAMO, I_TABLE 은 SCP, I_COLUMN 은 .SCP 파일명입니다. 1> SELECT scp.dbo.DEC_STR( 'OWNER', 'TABLE', 'COLUMN', scp.dbo.ENC_STR( 'OWNER', 'TABLE', 'COLUMN', 'abc')) 2> go ----------------------------------------------------- abc 1> SELECT scp.dbo.DEC_STR( 'DAMO', 'SCP', 'CBC_FIXED_Key_AES_128.SCP', scp.dbo.ENC_STR( 'DAMO', 'SCP', 'CBC_FIXED_Key_AES_128.SCP', 'abc')) 2> go ----------------------------------------------------- abc D’Amo DA-Sybase Installation Guide

D’Amo DA-Sybase Installation Guide Step 3. DA-Sybase 설치 확인 3.2 복호화 테스트 다음은 SCP 파일 환경에서의 복호화 테스트 예시입니다. 복호화 된 테스터 데이터 (‘abc’) 값 D’Amo DA-Sybase Installation Guide

D’Amo DA-Sybase Installation Guide Thank you The Leading Application Security Software Company building Trust Mechanism in IT World (Korea) www.pentasecurity.com 20Fl. Hanjin Shipping Bldg., 25-11 Yoido-Dong, Youngdeungpo-Gu, Seoul, Korea Tel: 82-2-780-7728 Fax: 82-2-786-5281 (Japan) www.pentasecurity.co.jp Ascend Akasaka Bldg., 3F. 3-2-8 Akasaka, Minato-ku, Tokyo 107-0052 Japan Tel: 81-3-5573-8191 Fax: 81-3-5573-8193 Copyright 1997-2013 Penta Security Systems, Inc. All rights reserved D’Amo DA-Sybase Installation Guide