ClientEncryption.encrypt() (método mongosh)

Crear una conexión de base de datos cifrada

Los métodos mongosh de cifrado a nivel de campo del lado del cliente y Queryable Encryption requieren una conexión de base de datos configurada para el cifrado del lado del cliente. Si la conexión actual a la base de datos no se inició con el cifrado a nivel de campo del lado del cliente habilitado, entonces:

• Utilice el Mongo() constructor de mongosh para establecer una conexión con las opciones necesarias de cifrado de nivel de campo del lado del cliente. El método Mongo() es compatible con los siguientes proveedores de Key Management Service (KMS) para la gestión de la llave maestra de cliente (CMK):

• Amazon Web Services KMS

• Azure Key Vault

• Google Cloud Platform KMS

• Clave gestionada localmente

or

• Utilice las opciones de línea de comandos mongosh para establecer una conexión con las opciones requeridas. Las opciones de la línea de comandos solo admiten el proveedor Amazon Web Services KMS para la gestión de la llave maestra de cliente.

BSON types no admitidos

No puedes usar encrypt() para cifrar valores con los siguientes BSON types:

• minKey

• maxKey

• null

• undefined

Si se encripta un campo utilizando AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic, encrypt() no es compatible con los siguientes tipos BSON:

• double

• decimal128

• bool

• object

• array

Encriptación a nivel de campo

El siguiente ejemplo utiliza un KMS gestionado localmente para la configuración de cifrado a nivel de campo en el lado del cliente.

Para configurar el cifrado a nivel de campo en el lado del cliente con una clave gestionada localmente:

• genera una cadena de 96bytes codificada en base64sin saltos de línea

• utilizar mongosh para cargar la clave

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

Cree el objeto de cifrado a nivel de campo lado del cliente mediante el string de clave local generado:

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
     }
   }
 }

Utiliza el Mongo() constructor con las opciones de cifrado a nivel de campo del lado del cliente configuradas para crear una conexión a la base de datos. Reemplace el URI mongodb://myMongo.example.net por el URI de la cadena de conexión del clúster de destino.

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

Recupere el objeto ClientEncryption y use el método ClientEncryption.encrypt() para cifrar un valor usando una llave de cifrado de datos UUID y el algoritmo de cifrado:

clientEncryption = encryptedClient.getClientEncryption();
clientEncryption.encrypt(
  UUID("64e2d87d-f168-493c-bbdf-a394535a2cb9"),
  "123-45-6789",
  "AEAD_AES_256_CBC_HMAC_SHA_512-Random"
)

También puede especificar el algoritmo utilizando un documento con un campo algorithm:

clientEncryption = encryptedClient.getClientEncryption();
clientEncryption.encrypt(
  UUID("64e2d87d-f168-493c-bbdf-a394535a2cb9"),
  "123-45-6789",
  { algorithm: "AEAD_AES_256_CBC_HMAC_SHA_512-Random" }
)

Si tiene éxito, encrypt() devuelve el valor cifrado:

BinData(6,"AmTi2H3xaEk8u9+jlFNaLLkC3Q/+kmwDbbWrq+h9nuv9W+u7A5a0UnpULBNZH+Q21fAztPpU09wpKPrju9dKfpN1Afpj1/ZhFcH6LYZOWSBBOAuUNjPLxMNSYOOuITuuYWo=")

Para obtener la documentación completa sobre cómo iniciar conexiones MongoDB con el cifrado a nivel de campo en el lado del cliente activado, consulte Mongo().

Queryable Encryption

El siguiente ejemplo utiliza un KMS gestionado localmente para la configuración de queryable encryption.

Configurar el Queryable Encryption para una clave gestionada localmente requiere especificar una string de 96bytes codificada en base64, sin saltos de línea. La siguiente operación genera una clave que cumple con los requisitos establecidos y la carga en mongosh:

TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

Cree el objeto de cifrado a nivel de campo lado del cliente mediante el string de clave local generado:

var autoEncryptionOpts = {
  "keyVaultNamespace" : "encryption.__keyVault",
  "kmsProviders" : {
    "local" : {
      "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
    }
  }
}

Utiliza el Mongo() constructor para crear una conexión a la base de datos con las opciones de Queryable Encryption. Reemplace el URI mongodb://myMongo.example.net por el URI de la cadena de conexión del clúster de destino.

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
  autoEncryptionOpts
)

Recupere el objeto ClientEncryption y use el método ClientEncryption.encrypt() para cifrar un valor usando una llave de cifrado de datos UUID y el algoritmo de cifrado:

const eDB = "encrypted"
const eKV = "__keyVault"
const clientEncryption = encryptedClient.getClientEncryption();
const keyVaultClient = Mongo().getDB(eDB).getCollection(eKV)
const dek = keyVaultClient.findOne({ keyAltNames: "dataKey1" })
clientEncryption.encrypt(
  dek._id,
  "123-45-6789",
  "Unindexed"
)

También puedes especificar el algoritmo utilizando un documento que contenga los campos:

• algorithm

• queryType

• contentionFactor

const eDB = "encrypted"
const eKV = "__keyVault"
const clientEncryption = encryptedClient.getClientEncryption();
const keyVaultClient = Mongo().getDB(eDB).getCollection(eKV)
const dek = keyVaultClient.findOne({ keyAltNames: "dataKey1" })
clientEncryption.encrypt(
  dek._id,
  "123-45-6789",
  {
    algorithm: "Indexed",
    queryType: "equality",
    contentionFactor: 4
  }
)

Si tiene éxito, encrypt() devuelve el valor cifrado:

Binary(Buffer.from("05b100000005640020000000005ab3581a43e39a8e855b1ac87013e841735c09d19ae86535eea718dd56122ba50573002000000000703d2cba9832d90436c6c92eb232aa5b968cdcd7a3138570bc87ef0a9eb3a0e905630020000000009cb61df010b1bb54670a5ad979f25f4c48889059dfd8920782cf03dd27d1a50b05650020000000003f5acea703ea357d3eea4c6a5b19139a580089341424a247839fd4d5cf0d312a12636d00040000000000000000", "hex"), 6)