Data-at-Rest Encryption in DuckDB
6 months ago
- #encryption
- #database
- #security
- DuckDB v1.4 引入了使用 AES-GCM-256 和 AES-CTR-256 算法实现静态数据加密的数据库加密功能。
- 加密范围涵盖数据库主头文件、数据块、预写日志(WAL)及临时文件。
- 密钥管理采用从用户提供密钥派生的安全密钥,并安全存储于内存中。
- 加密对性能影响极小,尤其在使用支持硬件加速的 OpenSSL 时。
- DuckDB 支持对现有数据库加密、新建加密数据库以及数据库重加密操作。
- 该加密功能显著提升了 CDN 分发和云存储等部署模式的安全性。