Funções de criptografia de DLP

O GoogleSQL para BigQuery oferece suporte às seguintes funções DLP que permitem criptografia e descriptografia interoperáveis entre o BigQuery e Cloud Data Loss Prevention (Cloud DLP) usando o AES-SIV.

Lista de funções

Nome	Resumo
`DLP_DETERMINISTIC_ENCRYPT`	Criptografa dados com um algoritmo compatível com DLP.
`DLP_DETERMINISTIC_DECRYPT`	Descriptografa dados criptografados por DLP.
`DLP_KEY_CHAIN`	Recebe uma chave de criptografia de dados encapsulada pelo Cloud Key Management Service.

`DLP_DETERMINISTIC_ENCRYPT`

DLP_DETERMINISTIC_ENCRYPT(key, plaintext, context)

DLP_DETERMINISTIC_ENCRYPT(key, plaintext, context, surrogate)

Descrição

Essa função deriva uma chave de criptografia de dados de key e context e, em seguida, criptografa plaintext. Opcionalmente, use surrogate para prefixar o resultado da criptografia.

Definições

key: um valor BYTES serializado que é retornado por DLP_KEY_CHAIN. key precisa ser definido como ENABLED no Cloud KMS. Para informações sobre como gerar uma chave encapsulada, consulte gcloud kms encryption.
plaintext: o valor STRING a ser criptografado.
context: um valor STRING fornecido pelo usuário que é usado com uma chave do Cloud KMS para derivar uma chave de criptografia de dados. Para mais informações, consulte CryptoDeterministicConfig:context.
surrogate: um valor STRING que pode ser anexado à saída.

Tipos de dados retornados

STRING

Exemplo

SELECT
  DLP_DETERMINISTIC_ENCRYPT(
    DLP_KEY_CHAIN(
      'gcp-kms://projects/my_project/locations/us-central1/keyRings/keyringtest/cryptoKeys/testkey',
      b'\123\044\290\876....'),
    plaintext,
    '',
    'test') AS results

/*--------------------------------------*
 | results                              |
 +--------------------------------------+
 | AXDEwUnZsTf/NzxoHaC8AZXcawWuma7L39A= |
 *--------------------------------------*/

`DLP_DETERMINISTIC_DECRYPT`

DLP_DETERMINISTIC_DECRYPT(key, ciphertext, context)

DLP_DETERMINISTIC_DECRYPT(key, ciphertext, context, surrogate)

Descrição

Essa função descriptografa ciphertext usando uma chave de criptografia derivada de key e context. Se quiser, use surrogate para prefixar o resultado de descriptografia.

Definições

key: um valor BYTES serializado retornado por DLP_KEY_CHAIN. key precisa ser definido como ENABLED no Cloud KMS. Para informações sobre como gerar uma chave encapsulada, consulte gcloud kms encryption.
ciphertext: o valor STRING a ser descriptografado.
context: um valor STRING usado com uma chave do Cloud KMS para derivar uma chave de criptografia de dados. Para mais informações, consulte CryptoDeterministicConfig:context.
surrogate: um valor STRING que pode ser anexado à saída.

Tipos de dados retornados

STRING

Exemplo

SELECT
  DLP_DETERMINISTIC_DECRYPT(
    DLP_KEY_CHAIN(
      'gcp-kms://projects/myproject/locations/us-central1/keyRings/keyringtest/cryptoKeys/testkey',
      b'\123\044\290\876....'),
    'your_surrogate(36)AdFnA6r5doSDWxPwW/W4vBaa4iOvDagC8z8=',
    '',
    'your_surrogate') AS results

/*-----------*
 | results   |
 +-----------+
 | plaintext |
 *-----------*/

`DLP_KEY_CHAIN`

DLP_KEY_CHAIN(kms_resource_name, wrapped_key)

Descrição

É possível usar essa função em vez do argumento key para funções de criptografia determinísticas do DLP. Essa função permite usar as funções de criptografia AES-SIV sem incluir chaves plaintext em uma consulta.

Definições

kms_resource_name: um literal STRING que contém o caminho do recurso para a chave do Cloud KMS. kms_resource_name não pode ser NULL e precisa residir na mesma região do Cloud em que essa função é executada. Esse argumento é usado para derivar a chave de criptografia de dados nas funções DLP_DETERMINISTIC_DECRYPT e DLP_DETERMINISTIC_ENCRYPT. Uma chave do Cloud KMS é semelhante ao seguinte:
```
gcp-kms://projects/my-project/locations/us/keyRings/my-key-ring/cryptoKeys/my-crypto-key
```
wrapped_key: um literal BYTES que representa um texto secreto escolhido pelo usuário. Ele pode ter 16, 24 ou 32 bytes. Para informações sobre como gerar uma chave encapsulada, consulte gcloud kms encrypt.

Tipos de dados retornados

STRUCT

Exemplo

SELECT
  DLP_DETERMINISTIC_ENCRYPT(
    DLP_KEY_CHAIN(
      'gcp-kms://projects/my_project/locations/us-central1/keyRings/keyringtest/cryptoKeys/testkey',
      b'\123\044\290\876....'),
    plaintext,
    '',
    'test') AS results

/*--------------------------------------*
 | results                              |
 +--------------------------------------+
 | AXDEwUnZsTf/NzxoHaC8AZXcawWuma7L39A= |
 *--------------------------------------*/