使用 EF Core 3 解密数据

Question

我正在尝试了解如何使用 EF Core 解密使用对称密钥加密的列数据。 在 SQL 服务器中，我会使用这些命令来获取我的数据：

OPEN SYMMETRIC KEY My_Key DECRYPTION BY CERTIFICATE myCert;
SELECT  CONVERT(char, DecryptByKey(soc_sec_no))
FROM MyDatabase WHERE arid_identifier=0001882

如何从 EF Core 3 执行此操作？ 我从 Entity Framework 6 (non-core) 看到很多关于如何做到这一点的文章，我确实找到了这个问题，但代码对我不起作用。

Answer 1

我从https://github.com/tkhadimullin/ef-core-custom-functions/tree/feature/ef-3.1-version开始。

我已将更改放在https://github.com/xanatos/ef-core-custom-functions/tree/feature/ef-3.1-version上。 请注意，有三个提交，一个用于 EF Core 3.1，一个用于 EF Core 3.1.11（无需更改），一个用于 EF Core 5.0.2（需要进行一些更改）。

可悲的是，我必须纠正代码中的各种小错误。 关于OPEN SYMMETRIC KEY的部分其实是没有测试过的，被作者注释掉了。

必要的更改：

class 回购：

需要一个事务来将各种 SQL 命令放在一起。 参数索引错误。 我添加了一些针对对称密钥名称和密码的注入攻击的保护（可能没用，因为这两件事应该受到很好的保护）

public IEnumerable<Model> GetAllById(int id)
{
    // Transaction to keep together the two ExecuteSqlRaw with the query
    DbContext.Database.BeginTransaction();

    DbContext.Database.ExecuteSqlRaw($"DECLARE @Open NVARCHAR(MAX) = N'OPEN SYMMETRIC KEY ' + QUOTENAME(@p0, '[') + ' DECRYPTION BY PASSWORD = ' + QUOTENAME(@p1, '''') + N';'; EXEC sp_executesql @Open", SymmetricKeyName, SymmetricKeyPassword);

    var filteredSet = Set.Include(x => x.Table2)
        .Where(x => x.Id == id)
        .Where(x => x.Table2.IsSomething)
        .Select(m => new Model
        {
            Id = m.Id,
            //Decrypted = EF.Functions.Decrypt(SymmetricKeyPassword, m.Encrypted).ToString(),
            Decrypted = EF.Functions.DecryptByKey(m.Encrypted2).ToString(), // since the key's opened for session scope - just relying on it should do the trick
            Table2 = m.Table2,
            Encrypted = m.Encrypted,
        }).ToList();

    DbContext.Database.ExecuteSqlRaw($"DECLARE @Close NVARCHAR(MAX) = N'CLOSE SYMMETRIC KEY ' + QUOTENAME(@p0, '[') + ';'; EXEC sp_executesql @Close", SymmetricKeyName);

    DbContext.Database.CommitTransaction();

    return filteredSet;
}

class TranslateImpl：

修复了处理 arguments 的一些问题（2 个 arguments 并不总是存在，如果只有一个则方法崩溃）

public SqlExpression Translate(SqlExpression instance, MethodInfo method, IReadOnlyList<SqlExpression> arguments)
{
    if (method == _encryptMethod)
    {
        var args = new[] { arguments[1], arguments[2] }; // cut the first parameter from extension function
        return _expressionFactory.Function(instance, "ENCRYPTBYPASSPHRASE", args, typeof(byte[]));
    }

    if (method == _decryptMethod)
    {
        var args = new[] { arguments[1], arguments[2] }; // cut the first parameter from extension function
        return _expressionFactory.Function(instance, "DECRYPTBYPASSPHRASE", args, typeof(byte[]));
    }

    if (method == _decryptByKeyMethod)
    {
        var args = new[] { arguments[1], }; // cut the first parameter from extension function
        return _expressionFactory.Function(instance, "DECRYPTBYKEY", args, typeof(byte[]));
    }

    return null;
}

脚本 dbSchema.sql

该脚本现在可以以两种不同的方式加密文本（密码或对称密钥）

CREATE SYMMETRIC KEY [TestKeyWithPassword] WITH ALGORITHM = AES_128 ENCRYPTION BY PASSWORD = 'TestPassword'
GO
OPEN SYMMETRIC KEY [TestKeyWithPassword] DECRYPTION BY PASSWORD = 'TestPassword'
GO
INSERT [dbo].[Models] ([Id], [Encrypted], [Table2Id]) 
VALUES (
    1, 
    --ENCRYPTBYPASSPHRASE('TestPassword', 'Encrypted with Passphrapse'), 
    ENCRYPTBYKEY(key_GUID('TestKeyWithPassword'), 'Encrypted with Symmetric Key With Password'), 
    1)

关于.ToString() 的重要说明

在Decrypt / DecryptByKey之后有一个.ToString() 。 它由 EF Core 转换为CONVERT(VARCHAR(100), ...) 。 如果你想要一些不同的东西，你必须创建一些DBFunctions来做到这一点（这很简单，以DbFunctionsExtensions.Encrypt ，在我的 git 中完成）

关于保存时加密的重要说明

在所有这些中，我不确定您将如何实现加密部分。 虽然您对 EF Core 生成的SELECT有一些控制权，但您对INSERT / UPDATE的控制权要小得多。