Puedes cifrar el archivo Realm en el disco con AES-256 + SHA-2 proporcionando una llave de cifrado de 64 bytes al abrir un realm.
Realm cifra y descifra datos de forma transparente con estándares Cifrado AES-256Utilizando los primeros 256 bits de la clave de cifrado de bits 512dada. Realm utiliza los otros 256 bits de la 512clave de cifrado de bits para validar la integridad mediante un código de autenticación de mensajes basado en hash (HMAC).
Advertencia
No utilice hashes criptográficamente débiles para las claves de cifrado de dominio. Para una seguridad óptima, recomendamos generar claves de cifrado aleatorias en lugar de derivadas.
Cifrar un reino llamando al set_encryption_key() función en su db_config:
// Check if we already have a key stored in the platform's secure storage. // If we don't, generate a new one. // Use your preferred method to generate a key. This example key is // NOT representative of a secure encryption key. It only exists to // illustrate the form your key might take. std::array<char, 64> exampleKey = { 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 0, 0, 0, 0, 0, 0, 2, 2, 0, 0, 0, 0, 0, 0, 3, 3, 0, 0, 0, 0, 0, 0, 4, 4, 0, 0, 0, 0, 0, 0, 5, 5, 0, 0, 0, 0, 0, 0, 6, 6, 0, 0, 0, 0, 0, 0, 7, 7, 0, 0, 0, 0, 0, 0}; // Store the key securely to be used next time we want to open the database. // We don't illustrate this here because it varies depending on the platform. // Create a database configuration. auto config = realm::db_config(); // Set the encryption key in your config. config.set_encryption_key(exampleKey); // Open or create a database with the config containing the encryption key. auto realm = realm::db(config);
Tip
No se puede cifrar un reino que ya existe en el dispositivo
El SDK de C++ aún no permite cifrar un dominio existente en el dispositivo. Debe cifrar el dominio la primera vez que lo abra.
Guardar y reutilizar llaves
Debes pasar la misma clave de cifrado cada vez que abras el dominio cifrado. Si no proporcionas una clave o especificas una incorrecta para un dominio cifrado, el SDK de Realm generará un error.
Las aplicaciones deben almacenar la clave de cifrado de forma segura en el dispositivo para que otras aplicaciones no puedan leerla.
Impacto en el rendimiento
Las lecturas y escrituras en reinos cifrados pueden ser hasta un 10% más lentas que en reinos no cifrados.
Cifrado y sincronización de dispositivos Atlas
Cifrar un dominio sincronizado
Puede encriptar un realm sincronizado.
Realm solo cifra los datos del dispositivo y los almacena sin cifrar en la fuente de datos Atlas. Cualquier usuario con acceso autorizado a la fuente de datos Atlas puede leerlos, pero se aplica lo siguiente:
Los usuarios deben tener los permisos de lectura correctos para leer los datos sincronizados.
Los datos almacenados en Atlas siempre están cifrados a nivel de volumen (disco).
La transferencia entre el cliente y el servidor siempre está totalmente cifrada.
También puede habilitar la Administración de claves del cliente para cifrar los datos de Atlas almacenados utilizando la clave de su proveedor de nube (por ejemplo, AWS KMS, Azure Key Vault, Google Cloud KMS).
Si necesita claves únicas para cada usuario de su aplicación, puede utilizar un proveedor OAuth o utilizar uno de los proveedores de autenticación de Realm y un activador de autenticación para crear 64una clave de bits y almacenar esa clave en un objeto de usuario.
Cifrar metadatos
Puedes cifrar los metadatos que Realm almacena en el dispositivo. Para más información, consulta Cifrar metadatos de la aplicación.