#DICA - Como validar a senha do wallet (TDE keystore) sem gerar impactos ao ambiente


O objetivo deste artigo é demonstrar como realizar a validação da senha do TDE keystore/wallet sem a necessidade de fechar e abrir a keystore existente. Com isso, é possível realizar a validação da senha da keystore sem gerar qualquer impacto no ambiente.

O primeiro passo a ser realizado é copiar o keystore/wallet atual para um novo diretório. Neste exemplo, será copiado o arquivo ewallet.p12 para o diretório /tmp. Apenas o arquivo ewallet.p12 precisa ser copiado, já o  cwallet.sso não é necessário.

[oracle@lamimtst ~]$ cd /opt/oracle/dcs/commonstore/wallets/tde/lamimtst_gru1vc/
[oracle@lamimtst lamimtst_gru1vc]$ ls
cwallet.sso ewallet.p12 [oracle@lamimtst lamimtst_gru1vc]$ cp ewallet.p12 /tmp
[oracle@lamimtst lamimtst_gru1vc]$ cd /tmp
[oracle@lamimtst tmp]$ ls /tmp/ewallet.p12 /tmp/ewallet.p12 [oracle@lamimtst tmp]$

Realizada a copia do arquivo ewallet.p12 para um novo diretório, será usado o comando mkstore para exibir as informações da keystore copiada no novo diretório. Vale destacar que o comando mkstore não pode ser usado com o ASM, desta forma se o wallet estiver armazenado no ASM, ele deve ser copiado para um filesystem para que possa ser realizada a validação com o comando mkstore.

Utilizando o comando mkstore -wrl <caminho/wallet> -list , será solicitada a senha do wallet. Se a senha estivar correta, as informações da keystore serão exibidas. Já se estiver errada, será apresentada a mensagem oracle.security.crypto.core.CipherException: Invalid padding string (or incorrect password).

Exemplo do processo com a senha errada:

[oracle@lamimtst tmp]$ mkstore -wrl  /tmp/ewallet.p12 -list
Oracle Secret Store Tool Release 21.0.0.0.0 - Production
Version 21.0.0.0.0
Copyright (c) 2004, 2022, Oracle and/or its affiliates. All rights reserved.

Enter wallet password:
oracle.security.crypto.core.CipherException: Invalid padding string (or incorrect password)
[oracle@lamimtst tmp]$

Exemplo do processo com a senha correta:

[oracle@lamimtst tmp]$ mkstore -wrl  /tmp/ewallet.p12 -list
Oracle Secret Store Tool Release 21.0.0.0.0 - Production
Version 21.0.0.0.0
Copyright (c) 2004, 2022, Oracle and/or its affiliates. All rights reserved.

Enter wallet password:
Oracle Secret Store entries:
ORACLE.SECURITY.DB.ENCRYPTION.AfCPWY8WiU92v9m1QPCVpJ4AAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ORACLE.SECURITY.DB.ENCRYPTION.AZpFJO6DHk+7v6NK+75VhNUAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ORACLE.SECURITY.DB.ENCRYPTION.MASTERKEY
ORACLE.SECURITY.DB.ENCRYPTION.MASTERKEY.DDB5B0F1CD891ECBE0530505640AC842
ORACLE.SECURITY.ID.ENCRYPTION.
ORACLE.SECURITY.KB.ENCRYPTION.
ORACLE.SECURITY.KM.ENCRYPTION.AfCPWY8WiU92v9m1QPCVpJ4AAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ORACLE.SECURITY.KM.ENCRYPTION.AZpFJO6DHk+7v6NK+75VhNUAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
[oracle@lamimtst tmp]$


Fonte: 

https://docs.oracle.com/middleware/1213/wls/JDBCA/oraclewallet.htm#JDBCA602

How To Validate A TDE Keystore (Wallet) Password After Changing The Password, Without Closing The Wallet? (Doc ID 2727011.1)

Comentários