Kryptografische Rechenparameter

Kryptografische Rechenparameter sind für Kollaborationen verfügbar, bei denen Cryptographic Computing for Clean Rooms (C3R) beim Erstellen einer Kollaboration verwendet wird. Sie können eine Kollaboration entweder mithilfe der AWS Clean Rooms Konsole oder mithilfe der API-Operation erstellen. CreateCollaboration In der Konsole können Sie Werte für die Parameter unter Verschlüsselungsparameter festlegen, nachdem Sie die Option Kryptografisches Rechnen Support aktiviert haben. Weitere Informationen finden Sie unter den folgenden Themen.

Parameter „Spalten zulassencleartext“

In der Konsole können Sie beim Erstellen einer Kollaboration den Parameter cleartextSpalten zulassen festlegen, um anzugeben, ob cleartext Daten in einer Tabelle mit verschlüsselten Daten zulässig sind.

In der folgenden Tabelle werden die Werte für den Parameter Allow cleartext columns beschrieben.

Parameterwert	Beschreibung
Nein	CleartextSpalten sind in der verschlüsselten Tabelle nicht zulässig. Alle Daten sind kryptografisch geschützt.
Ja	CleartextSpalten sind in der verschlüsselten Tabelle zulässig. CleartextSpalten sind nicht kryptografisch geschützt und werden als aufgenommen. cleartext Sie sollten sich notieren, was die Daten Ihrer Zeilen über die anderen cleartext Daten in der Tabelle aussagen könnten. Um SUM oder AVG für bestimmte Spalten ausführen zu können, müssen sich die Spalten in cleartext befinden.

Mithilfe der CreateCollaboration API-Operation können Sie für den dataEncryptionMetadata Parameter den Wert allowCleartext auf true oder festlegenfalse. Weitere Informationen zu API-Vorgängen finden Sie in der AWS Clean Rooms API-Referenz.

CleartextSpalten entsprechen Spalten, die cleartext im tabellenspezifischen Schema als Spalten klassifiziert sind. Die Daten in diesen Spalten sind nicht verschlüsselt und können auf beliebige Weise verwendet werden. CleartextSpalten können nützlich sein, wenn die Daten nicht sensibel sind und/oder wenn mehr Flexibilität erforderlich ist, als es eine verschlüsselte sealed Spalte oder fingerprint Spalte zulässt.

Parameter „Duplikate zulassen“

In der Konsole können Sie beim Erstellen einer Kollaboration den Parameter Duplikate zulassen festlegen, um anzugeben, ob für JOIN Abfragen verschlüsselte Spalten doppelte Nichtwerte enthalten können. NULL

Wichtig

Die Parameter „Duplikate zulassenJOIN“, „Spalten mit unterschiedlichen Namen zulassen“ und „NULLWerte beibehalten“ haben unterschiedliche, aber verwandte Auswirkungen.

In der folgenden Tabelle werden die Werte für den Parameter Duplikate zulassen beschrieben.

Parameterwert	Beschreibung
Nein	Wiederholte Werte sind in einer fingerprint Spalte nicht zulässig. Alle Werte in einer einzelnen fingerprint Spalte müssen eindeutig sein.
Ja	Wiederholte Werte sind in einer fingerprint Spalte zulässig. Wenn Sie Spalten mit wiederholten Werten verbinden müssen, setzen Sie diesen Wert auf Ja. Wenn diese Option auf Ja gesetzt ist, können Häufigkeitsmuster, die in den fingerprint Spalten der C3R-Tabelle oder der Ergebnisse erscheinen, zusätzliche Informationen über die Struktur der cleartext Daten enthalten.

Mithilfe der CreateCollaboration API-Operation können Sie für den dataEncryptionMetadata Parameter den Wert allowDuplicates auf true oder false festlegen. Weitere Informationen zu API-Vorgängen finden Sie in der AWS Clean Rooms API-Referenz.

Wenn verschlüsselte Daten in JOIN Abfragen verwendet werden müssen, verlangt der C3R-Verschlüsselungsclient standardmäßig, dass diese Spalten keine doppelten Werte enthalten. Diese Anforderung ist ein Versuch, den Datenschutz zu verbessern. Dieses Verhalten kann dazu beitragen, dass wiederholte Muster in den Daten nicht beobachtbar sind. Wenn Sie jedoch mit verschlüsselten Daten in JOIN Abfragen arbeiten möchten und sich keine Gedanken über doppelte Werte machen, kann der Parameter Duplikate zulassen diese konservative Prüfung deaktivieren.

Parameter „Zulassen JOIN von Spalten mit unterschiedlichen Namen“

In der Konsole können Sie beim Erstellen einer Kollaboration den Parameter Spalten mit unterschiedlichen Namen zulassen JOIN festlegen, um anzugeben, ob JOIN Anweisungen zwischen Spalten mit unterschiedlichen Namen unterstützt werden.

Weitere Informationen finden Sie unter Normalisierung der Namen der Spaltenüberschriften .

In der folgenden Tabelle werden die Werte für den Parameter Zulassen JOIN von Spalten mit unterschiedlichen Namen beschrieben.

Parameterwert	Beschreibung
Nein	Verknüpfungen von fingerprint Spalten mit unterschiedlichen Namen werden nicht unterstützt. JOINAnweisungen liefern nur genaue Ergebnisse für Spalten, die denselben Namen haben. Wichtig Der Wert „Nein“ erhöht die Informationssicherheit, erfordert jedoch, dass sich die Kollaborationsteilnehmer zuvor über die Spaltennamen einigen. Wenn zwei Spalten unterschiedliche Namen haben, wenn sie als fingerprint Spalten verschlüsselt sind und Spalten mit unterschiedlichen Namen zulassen JOIN auf Nein gesetzt ist, führen JOIN Anweisungen zu diesen Spalten zu keinen Ergebnissen. Das liegt daran, dass sie nach der Verschlüsselung keine Werte gemeinsam nutzen.
Ja	Verknüpfungen von fingerprint Spalten mit unterschiedlichen Namen werden unterstützt. Für zusätzliche Flexibilität können Benutzer diesen Wert auf Ja setzen, sodass JOIN Aussagen zu Spalten unabhängig von deren Spaltennamen möglich sind. Wenn dieser Wert auf Ja gesetzt ist, berücksichtigt der C3R-Verschlüsselungsclient den Spaltennamen beim Schutz von fingerprint Spalten nicht. Daher sind gemeinsame Werte in verschiedenen fingerprint Spalten in der C3R-Tabelle beobachtbar. Wenn eine Zeile beispielsweise denselben verschlüsselten JOIN Wert sowohl in einer Spalte als auch in einer City Spalte hat, kann es sinnvoll sein, daraus zu schließen, dass dieser Wert ist. State New York

Mithilfe der CreateCollaboration API-Operation können Sie für den dataEncryptionMetadata Parameter den Wert allowJoinsOnColumnsWithDifferentNames auf true oder false festlegen. Weitere Informationen zu API-Vorgängen finden Sie in der AWS Clean Rooms API-Referenz.

Standardmäßig wird die fingerprint Spaltenverschlüsselung durch die targetHeader für diese Spalte eingestellte Einstellung beeinflusstSchritt 4: Generieren Sie ein Verschlüsselungsschema für eine tabellarische Datei . Daher hat derselbe cleartext Wert in jeder fingerprint Spalte, für die er verschlüsselt ist, unterschiedliche verschlüsselte Darstellungen.

Dieser Parameter kann in einigen Fällen nützlich sein, um die Inferenz von cleartext Werten zu verhindern. StateEs kann beispielsweise verwendet werden, wenn derselbe verschlüsselte Wert in fingerprint Spalten angezeigt City wird, um vernünftigerweise auf den Wert schließen zu können. New York Die Verwendung dieses Parameters erfordert jedoch eine zusätzliche Abstimmung im Voraus, sodass alle Spalten, die in Abfragen verknüpft werden sollen, gemeinsame Namen haben.

Sie können den Parameter Zulassen JOIN von Spalten mit unterschiedlichen Namen verwenden, um diese Einschränkung zu lockern. Wenn der Parameterwert auf gesetzt istYes, können alle Spalten, für die verschlüsselt wurdeJOIN, unabhängig vom Namen zusammen verwendet werden.

Parameter „NULLWerte beibehalten“

In der Konsole können Sie beim Erstellen einer Kollaboration den Parameter NULLWerte beibehalten so einstellen, dass für diese Spalte kein Wert vorhanden ist.

In der folgenden Tabelle werden die Werte für den Parameter NULLWerte beibehalten beschrieben.

Parameterwert	Beschreibung
Nein	NULLWerte werden nicht beibehalten. NULLWerte werden nicht wie NULL in einer verschlüsselten Tabelle angezeigt. NULLWerte werden in einer C3R-Tabelle als eindeutige Zufallswerte angezeigt.
Ja	NULLWerte werden beibehalten. NULLWerte werden wie NULL in einer verschlüsselten Tabelle angezeigt. Wenn Sie eine SQL-Semantik für NULL Werte benötigen, können Sie diesen Wert auf Ja setzen. Daher werden NULL Einträge wie NULL in der C3R-Tabelle angezeigt, unabhängig davon, ob die Spalte verschlüsselt ist und unabhängig von der Parametereinstellung für Duplikate zulassen.

Mithilfe der CreateCollaboration API-Operation können Sie für den dataEncryptionMetadata Parameter den Wert auf oder festlegen. preserveNulls true false Weitere Informationen zu API-Vorgängen finden Sie in der AWS Clean Rooms API-Referenz.

Wenn der Parameter NULLWerte beibehalten für die Zusammenarbeit auf Nein gesetzt ist:

1. NULLEinträge in cleartext Spalten sind unverändert.

2. NULLEinträge in verschlüsselten fingerprint Spalten werden als Zufallswerte verschlüsselt, um ihren Inhalt zu verbergen. Bei der Verknüpfung zu einer verschlüsselten Spalte mit NULL Einträgen in der cleartext Spalte ergeben sich keine Treffer für einen der NULL Einträge. Es werden keine Treffer erzielt, da sie jeweils ihren eigenen, eindeutigen zufälligen Inhalt erhalten.

3. NULLEinträge in verschlüsselten sealed Spalten sind verschlüsselt.

Wenn der Wert des Parameters NULLWerte beibehalten für die Kollaboration auf Ja gesetzt ist, bleiben die NULL Einträge aus allen Spalten unverändert, NULL unabhängig davon, ob die Spalte verschlüsselt ist.

Der Parameter NULLWerte beibehalten ist nützlich in Szenarien wie der Datenanreicherung, in denen Sie fehlende Informationen weitergeben möchten, ausgedrückt alsNULL. Der Parameter NULLWerte beibehalten ist auch im fingerprint oder HMAC-Format nützlich, wenn Sie NULL Werte in der gewünschten Spalte haben oder. JOIN GROUP BY

Wenn der Wert der Parameter Duplikate zulassen und NULLWerte beibehalten auf Nein gesetzt ist, führt das Vorhandensein von mehr als einem NULL Eintrag in einer fingerprint Spalte zu einem Fehler und die Verschlüsselung wird gestoppt. Wenn der Wert eines der beiden Parameter auf Ja gesetzt ist, tritt kein solcher Fehler auf.