Feuille de route cryptographique d'Oracle AI Database
Feuille de route cryptographique d'Oracle AI Database
Dernière mise à jour : février 2026
Les informations ci-dessous présentent les plans d'Oracle concernant les modifications apportées aux algorithmes de sécurité et aux stratégies/paramètres associés dans Oracle AI Database.
Les informations présentes sur ce site s'appliquent aux versions actuellement prises en charge par Oracle dans le cadre du support Premier (comme indiqué dans la stratégie de support à vie des produits technologiques Oracle).
Ces avis portent sur les changements apportés dans les versions de mise à jour. Les nouvelles versions de fonctionnalités peuvent implémenter de nouveaux algorithmes de sécurité ou utiliser des paramètres par défaut différents des versions précédemment publiées. Les informations sur les changements livrés avec les nouvelles versions de fonctionnalités, y compris les changements en cryptographie, se trouvent dans les notes de version. Cependant, à quelques exceptions notables près, ce site peut inclure des avis concernant des changements dans une version future, voire dans des versions en accès anticipé.
Avis de non-responsabilité
Les informations ci-dessous résument les plans actuels d'Oracle. Elles ont pour objectif de fournir au public des informations générales. Cette feuille de route peut évoluer avec un préavis très court, voire sans, même si Oracle s'efforcera de vous informer à l'avance de ces changements. Dans certains cas, il est possible que les changements requis ne soient publiés qu'après une version ou une mise à jour donnée.
Informations complémentaires et lectures supplémentaires
Feuille de route cryptographique d'Oracle JRE et JDK - Les procédures stockées basées sur Java dans la base de données suivent la feuille de route cryptographique Oracle JRE et JDK et ne sont pas couvertes par les détails ci-dessous.
Politique Oracle Technology Lifetime Support - Contient des informations sur les versions d'Oracle AI Database et leurs calendriers de support.
Blog : Sécuriser Oracle AI Database 26ai pour l'ère quantique
2025 KuppingerCole Leadership Compass for Data Security Platforms
Découvrez pourquoi KuppingerCole a reconnu Oracle comme un leader en matière de sécurité des bases de données
Modifications planifiées
Calendrier proposé | Version(s) cible(s) et fonctionnalité(s) concernée(s) | Action prévue |
|---|---|---|
2H 2026 | 19c / TLS | Désactiver par défaut les chiffrements faibles Actuellement, le paramètre SSL_ENABLE_WEAK_CIPHERS est défini par défaut sur TRUE afin d'assurer la rétrocompatibilité. Dans une prochaine version, nous prévoyons de définir la valeur par défaut sur FALSE, ce qui désactivera ces chiffrements à moins que le paramètre ne soit explicitement défini sur TRUE dans le fichier sqlnet.ora :
|
2H 2026 | 19c / TLS | Supprimer la prise en charge de TLS 1.0 et TLS 1.1 Actuellement, TLS 1.0 et 1.1 sont activés par défaut, sauf si SSL_VERSION est explicitement défini pour les désactiver. Dans une prochaine version, nous activerons la prise en charge de TLS 1.3 et, en même temps, nous définirons la valeur par défaut de SSL_VERSION sur 1.3 et 1.2. Vous devrez mettre à jour la valeur de SSL_VERSION afin d'y inclure TLS 1.0 et/ou 1.1 si vous souhaitez les réactiver. Vous ne pourrez pas prendre en charge TLS 1.0 et TLS 1.1 si vous utilisez TLS 1.3. |
2H 2026 | 19c / NNE, DBMS_CRYPTO | Désactiver le chiffrement 3DES, le hachage MD2 et MD4 lorsque la base de données fonctionne en mode FIPS 140-3 Actuellement, Oracle Database 19c prend en charge FIPS 140-2. Une prochaine version inclura la prise en charge de FIPS 140-3. Dans le cadre de cette version, lorsque la base de données fonctionne en mode FIPS 140-3, le hachage MD2 et MD4 et le chiffrement 3DES seront désactivés. |
1H 2027 | 19c / TLS | Permettre la désactivation des groupes de courbes elliptiques faibles Une prochaine version introduira un nouveau paramètre, SSL_DISABLE_WEAK_EC_CURVES, dont la valeur par défaut sera false. Lorsque ce paramètre est défini sur TRUE, il désactivera les courbes ECC dont la longueur de clé est inférieure à 256 bits, notamment : sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 À l'avenir, nous modifierons la valeur par défaut de ce nouveau paramètre pour la définir sur TRUE. |
1H 2027 | 26ai / TLS | Désactiver par défaut les courbes elliptiques faibles Actuellement, le paramètre SSL_DISABLE_WEAK_EC_CURVES a pour valeur par défaut false. Définir cette valeur sur true désactive les courbes ECC dont la longueur de clé est inférieure à 256 bits, notamment : sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 À l’avenir, nous modifierons la valeur par défaut de ce nouveau paramètre pour la définir sur TRUE. SSL_DISABLE_WEAK_EC_CURVES est obsolète au profit de TLS_KEY_EXCHANGE_GROUPS, dont la valeur par défaut est : hybrid, ec, weak, ml-kem. Le paramètre weak active les courbes ECC faibles listées ci-dessus. Lorsque nous modifierons le paramètre par défaut de SSL_DISABLE_WEAK_EC_CURVES, nous supprimerons également weak de la valeur par défaut de TLS_KEY_EXCHANGE_GROUPS. |
Modifications publiées
Date de publication | Version concernée | Fonctionnalité concernée | Algorithme/protocole et action |
|---|---|---|---|
20-01-2026 | 23.26.1 | TLS (1.3 uniquement) | Hybride Ajout d'une option permettant d'utiliser un mode hybride d'échange de clés. Cela combine ECDHE avec ML-KEM. L'objectif est de renforcer la sécurité de l'échange de clés TLS face aux menaces quantiques de type harvest now/decrypt later. L'échange de clés hybride nécessiterait la compromission des deux algorithmes d'échange avant qu'une clé de session ne soit compromise. Mettre à jour TLS_KEY_EXCHANGE_GROUPS comme suit :
|
15-10-2025 | 23.26.0 | TLS (1.3 uniquement) | ML-KEM Ajout d'une option permettant de choisir ML-KEM comme chiffrement d'échange de clés. L'objectif est de fournir une résistance au quantique pour les données TLS en transit. Ajout de la prise en charge des certificats ML-DSA. Ajout d'un nouveau paramètre TLS_KEY_EXCHANGE_GROUPS dans le fichier sqlnet.ora. Les valeurs autorisées sont ec (ECDHE), weak et ml-kem. Il s'agit de l'ordre de priorité si aucune valeur n'est spécifiée. |
02-01-2025 | 23.7 | TLS (1.2 uniquement) | Groupes de courbes elliptiques TLS Ajoute une option permettant d'activer ou de désactiver les courbes elliptiques faibles pour les connexions TLS via le paramètre "SSL_DISABLE_WEAK_EC_CURVES" dont la valeur par défaut est FALSE. Conformément à RFC8422, seules les courbes elliptiques secp256r1, secp384r1, secp521r1 et x25519 continueront d'être prises en charge. Les courbes suivantes sont considérées comme faibles selon cette RFC : sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 Ces courbes restent activées par défaut, mais le nouveau paramètre de configuration permet de les désactiver si vous le souhaitez. |
02-05-2024 | 23.4 | NNE | MD4, MD5, DES, 3DES, RC4 Suppression des algorithmes associés à MD4, MD5, DES, 3DES et RC4 pour Native Network Encryption (NNE). |
02-05-2024 | 23.4 | DBMS_CRYPTO | MD4, MD5, DES, 3DES, RC4 Désactivation par défaut des algorithmes associés à MD4, MD5, DES, 3DES et RC4 pour DBMS_CRYPTO .
|
02-05-2024 | 23.4 | TLS | TLS Les paramètres sqlnet.ora ALLOW_MD5_CERTS et ALLOW_SHA1_CERTS sont obsolètes dans 26ai. À la place, utilisez le paramètre sqlnet.ora ALLOWED_WEAK_CERT_ALGORITHMS, nouveau dans Oracle Database 26ai. |
02-05-2024 | 23.4 | TLS | Désactiver par défaut les chiffrements faibles Le paramètre SSL_ENABLE_WEAK_CIPHERS a été introduit en octobre 2023 afin de proposer une option permettant d'activer/de désactiver les chiffrements TLS faibles, avec une valeur par défaut définie sur TRUE. Afin d'être sécurisé par défaut, SSL_ENABLE_WEAK_CIPHERS est défini sur FALSE par défaut à partir de la version 23.4. |
02-05-2024 | 23.4 | TLS, NNE | RSA, DH, DSA Augmenter la longueur minimale des clés en mode FIPS. À partir de 26ai, une longueur minimale de 2048 bits pour RSA, Diffie-Hellman (DH) et Digital Signature Algorithm (DSA) est prise en charge en mode FIPS. Des longueurs de clés inférieures ne sont autorisées qu'en mode non FIPS. |
10-17-2023 | 19.21 | TLS | TLS Désactiver par défaut les chiffrements faibles. Le paramètre SSL_ENABLE_WEAK_CIPHERS a été introduit afin de proposer une option permettant d'activer/de désactiver les chiffrements TLS faibles, avec une valeur par défaut définie sur TRUE. |
19-04-2023 | 23.1 | TLS | TLS Arrêt de la prise en charge de SSLv3, TLS1.0, TLS1.1 |
19-04-2023 | 23.1 | TLS | TLS Arrêt de la prise en charge des chiffrements DH Anon.
|
13-08-2021 | 21c | TLS | TLS Arrêt de la prise en charge de la suite de chiffrement RC4 anonyme (SSL_DH_anon_WITH_RC4_128_MD5) L'utilisation de la suite de chiffrement RC4 anonyme pour les connexions TLS non authentifiées n'est plus prise en charge à partir de 21c. |
13-05-2021 | 21c | NNE, DBMS_CRYPTO | SHA1 Rendre obsolète l'utilisation de SHA-1 pour NNE et DBMS_CRYPTO. |
Introduction à la sécurité des bases de données Oracle
Essayez Advanced Security
Découvrez Advanced Security en configurant vos principaux cas d’utilisation sur LiveLabs. Cet atelier se concentre sur les fonctionnalités Oracle Advanced Security telles que Transparent Data Encryption (TDE) et Data Redaction. Découvrez comment configurer ces fonctionnalités pour protéger vos bases de données et vos données sensibles. Exécutez cet atelier dans votre propre tenancy ou réservez un créneau pour utiliser LiveLabs, gratuitement.
Essayez Key Vault
Lors de cet atelier, vous allez migrer une base de données Oracle Database 19c chiffrée avec TDE depuis un wallet local vers Oracle Key Vault pour une gestion centralisée des clés. Apprenez à importer et à supprimer des clés maîtresses TDE pour la conformité PCI DSS, à utiliser des clés étiquetées pour faciliter l’association aux PDB et à établir un workflow reproductible et auditable pour la centralisation et la rotation des clés. Organisez l’atelier sur votre propre location ou réservez un moment pour l’organiser sur LiveLabs, gratuitement.
Essayez Key Vault
Cet atelier porte sur les fonctionnalités avancées de gestion des clés SSH d'Oracle Key Vault, et vous apprend à centraliser les clés SSH dans un environnement robuste piloté par des stratégies, tout en réduisant le risque de vol d'identifiants ou d'erreur de configuration. Apprenez à stocker, contrôler et faire tourner les paires de clés SSH directement dans Key Vault, où les clés privées peuvent être définies comme non extractibles. Ainsi, même si un serveur est compromis, les clés restent protégées.
Testez Data Safe
Découvrez Data Safe en configurant vos principaux cas d'utilisation sur LiveLabs. Il s'agit d'un atelier de présentation. Cet atelier se concentre sur l’évaluation des configurations de base de données et des contrôles de sécurité, l’évaluation de la sécurité et des privilèges des utilisateurs, la surveillance de l’activité des utilisateurs via l’audit et les alertes, la découverte et le masquage des données sensibles pour la conformité, ainsi que l’atténuation des risques liés aux injections SQL et aux comptes compromis grâce à SQL Firewall.