Solusi bawaan Oracle untuk masalah ini bukanlah enkripsi, tetapi kontrol akses menggunakan Database Vault atau Virtual Private Database untuk mencegah DBA atau pengguna lain melihat data, dan Enkripsi Data Transparan untuk mengenkripsi data saat istirahat (OS/file -enkripsi tingkat). Ini tidak hanya mencegah DBA melihat data, tetapi juga mengubah atau menghapusnya.
Jika Anda tetap ingin mengenkripsi nilai data, maka semua enkripsi/dekripsi dan manajemen kunci harus ditangani secara eksternal dari database di mana DBA tidak akan memiliki akses ke kunci enkripsi. Cara kerjanya akan tergantung pada desain aplikasi dan pilihan bahasa pemrograman Anda. Ketahuilah bahwa membangun enkripsi yang kuat dan arsitektur manajemen kunci tidak latihan sepele...
Perlu diketahui juga bahwa membungkus kode sumber PL/SQL hanya kebingungan kode dan bukan enkripsi. Itu bisa dengan mudah dibalik menggunakan sejumlah situs web yang ada atau prosedur tersimpan internal. DBA sejati juga akan memiliki execute any procedure hak istimewa atau dapat memberikan diri mereka sendiri izin eksplisit untuk menjalankan fungsi dekripsi apa pun dan bahkan tidak perlu peduli apa kuncinya (hanya Database Vault yang dapat mencegahnya).
Mengirimkan kunci ke fungsi sebagai input alih-alih menyematkannya langsung ke dalam kode juga akan menjadi masalah, karena DBA dapat melihat SQL Anda dalam berbagai cara. Saat ditransmisikan melalui kueri SQL, kuncinya juga dapat diekspos dalam laporan ADDM, file pelacakan basis data, atau jejak audit.
Tidak ada tidak cara aman untuk menangani enkripsi seperti yang Anda jelaskan dengan PL/SQL yang juga melindungi data dari DBA.
