Kryptografische Roadmap für Oracle AI Database
Kryptografische Roadmap für Oracle AI Database
Letzte Aktualisierung: Februar 2026
Die folgenden Informationen zeigen die geplanten Änderungen von Oracle an Sicherheitsalgorithmen sowie den zugehörigen Policys und Einstellungen in der Oracle AI Database.
Die Angaben auf dieser Seite beziehen sich auf Versionen, die derzeit von Oracle im Rahmen des Premier Supports betreut werden (wie in der Lifetime Support Policy für Oracle Technology Products beschrieben).
Diese Hinweise beziehen sich auf Änderungen in Update‑Releases. Neue Feature‑Releases können neue Sicherheitsalgorithmen einführen oder andere Standardeinstellungen verwenden als zuvor veröffentlichte Versionen. Informationen zu Änderungen, die mit neuen Feature‑Releases ausgeliefert werden – einschließlich kryptografischer Änderungen – finden Sie in den Versionshinweisen. Für einige bemerkenswerte Ausnahmen kann diese Seite jedoch auch Hinweise zu Änderungen in einer zukünftigen Version oder sogar Early‑Access‑Versionen enthalten.
Haftungsausschluss
Die nachfolgenden Informationen sind eine Zusammenfassung der aktuellen Planungen von Oracle. Sie dient der allgemeinen Information für die Öffentlichkeit. Diese Roadmap kann sich mit kurzer oder ganz ohne Vorankündigung ändern, auch wenn Oracle bemüht ist, Änderungen möglichst frühzeitig anzukündigen. In einigen Fällen ist es möglich, dass erforderliche Änderungen erst nach einer bestimmten Version oder einem Release‑Update veröffentlicht werden.
Zusätzliche Informationen und weiterführende Lektüre
Oracle JRE and JDK Cryptographic Roadmap – Java‑basierte gespeicherte Prozeduren innerhalb der Datenbank folgen der kryptografischen Roadmap für Oracle JRE und JDK und werden nicht durch die folgenden Details abgedeckt.
Oracle Technology Lifetime Support Policy – Enthält Informationen zu den Versionen der Oracle AI Database und deren unterstützten Zeitplänen.
Blog: Absicherung der Oracle AI Database 26ai für das Quantenzeitalter
KuppingerCole Leadership Compass 2025 für Data Security Platforms
Erfahren Sie, warum KuppingerCole Oracle als führend im Bereich der Datenbanksicherheit auszeichnet
Geplante Änderungen
Geplanter Zeitplan | Anvisierte Release(s) und betroffene Funktion(en) | Geplante Maßnahme |
|---|---|---|
2H 2026 | 19c / TLS | Schwache Cipher standardmäßig deaktivieren Derzeit ist der Parameter SSL_ENABLE_WEAK_CIPHERS aus Gründen der Abwärtskompatibilität standardmäßig auf TRUE gesetzt. In einer der nächsten Versionen planen wir, den Standardwert auf FALSE zu ändern. Dadurch werden diese Cipher deaktiviert, es sei denn, der Parameter wird in der sqlnet.ora ausdrücklich auf TRUE gesetzt:
|
2H 2026 | 19c / TLS | Unterstützung für TLS 1.0 und TLS 1.1 entfernen Derzeit sind TLS 1.0 und 1.1 standardmäßig aktiviert, sofern SSL_VERSION nicht ausdrücklich so gesetzt ist, dass sie deaktiviert werden. In einer kommenden Version werden wir TLS 1.3 unterstützen und zugleich den Standardwert von SSL_VERSION auf 1.3 und 1.2 festlegen.Wenn Sie TLS 1.0 und/oder 1.1 wieder aktivieren möchten, müssen Sie den Wert von SSL_VERSION entsprechend anpassen. Die Unterstützung von TLS 1.0 und TLS 1.1 ist nicht möglich, wenn TLS 1.3 verwendet wird. |
2H 2026 | 19c / NNE, DBMS_CRYPTO | Deaktivierung von 3DES‑Verschlüsselung sowie MD2‑ und MD4‑Hashing im FIPS‑140‑3‑Modus der Datenbank Derzeit unterstützt die Oracle Database 19c FIPS 140‑2. In einer kommenden Version wird die Unterstützung für FIPS 140‑3 enthalten sein. In diesem Release werden im FIPS‑140‑3‑Modus der Datenbank MD2‑ und MD4‑Hashing sowie 3DES‑Verschlüsselung deaktiviert. |
1H 2027 | 19c / TLS | Deaktivierung schwacher elliptischer Kurvengruppen ermöglichen In einer kommenden Version führen wir einen neuen Parameter ein: SSL_DISABLE_WEAK_EC_CURVES, mit dem Standardwert FALSE. Wenn dieser Parameter auf TRUE gesetzt wird, deaktiviert er ECC‑Kurven mit einer Schlüssellänge von weniger als 256 Bit, darunter: sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 Zu einem späteren Zeitpunkt werden wir den Standardwert dieses neuen Parameters auf TRUE ändern. |
1H 2027 | 26ai / TLS | Schwache elliptische Kurven standardmäßig deaktivieren Der Parameter SSL_DISABLE_WEAK_EC_CURVES hat derzeit den Standardwert FALSE. Wenn dieser Wert auf TRUE gesetzt wird, werden ECC‑Kurven mit einer Schlüssellänge von weniger als 256 Bit deaktiviert, darunter: sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 Zu einem späteren Zeitpunkt werden wir den Standardwert dieses neuen Parameters auf TRUE ändern. SSL_DISABLE_WEAK_EC_CURVES ist zugunsten von TLS_KEY_EXCHANGE_GROUPS veraltet. Dessen Standardwert lautet: hybrid, ec, weak, ml-kem. Die Option weak aktiviert die oben aufgeführten schwachen ECC‑Kurven. Zeitgleich mit der Änderung der Standardeinstellung von SSL_DISABLE_WEAK_EC_CURVES entfernen wir weak auch aus dem Standardwert von TLS_KEY_EXCHANGE_GROUPS. |
Freigegebene Änderungen
Freigabedatum | Betroffene Release(s) | Betroffene Funktion | Algorithmus/Protokoll und Aktion |
|---|---|---|---|
20.01.2026 | 23.26.1 | TLS (nur 1.3) | Hybrid Es wurde eine Option für einen hybriden Schlüsselaustauschmodus hinzugefügt. Dies kombiniert ECDHE mit ML‑KEM. Der Vorteil besteht darin, den TLS‑Schlüsselaustausch zusätzlich abzusichern – insbesondere im Hinblick auf „Harvest‑now/Decrypt‑later“-Quantenbedrohungen. Beim hybriden Schlüsselaustausch müsste beide Austauschverfahren kompromittiert werden, bevor ein Sitzungsschlüssel gefährdet wäre. Aktualisieren Sie TLS_KEY_EXCHANGE_GROUPS auf:
|
15.10.2025 | 23.26.0 | TLS (nur 1.3) | ML-KEM Es wurde eine Option hinzugefügt, ML‑KEM als Schlüsselaustausch‑Cipher zu wählen. Dies soll TLS‑Daten in Bewegung quantenresistent absichern. Zudem wurde die Unterstützung für ML‑DSA‑Zertifikate ergänzt. Der neue Parameter TLS_KEY_EXCHANGE_GROUPS wurde sqlnet.ora hinzugefügt. Zulässige Werte sind ec (ECDHE), weak und ml‑kem. Dies ist die Rangfolge, wenn kein Wert vorgegeben ist. |
02.01.2025 | 23.7 | TLS (nur 1.2) | TLS elliptische Kurvengruppen Fügt die Option hinzu, schwache elliptische Kurven für TLS‑Verbindungen über den Parameter „SSL_DISABLE_WEAK_EC_CURVES“ zu aktivieren oder zu deaktivieren; der Standardwert ist FALSE. Gemäß RFC8422 werden nur noch die elliptischen Kurven secp256r1, secp384r1, secp521r1 und x25519 unterstützt. Nach dieser RFC gelten die folgenden Kurven als schwach: sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 Diese Kurven bleiben standardmäßig aktiviert; mit dem neuen Konfigurationsparameter können sie bei Bedarf jedoch deaktiviert werden. |
02.05.2024 | 23.4 | NNE | MD4, MD5, DES, 3DES, RC4 MD4-, MD5-, DES-, 3DES- und RC4-bezogene Algorithmen für native Netzwerkverschlüsselung (NNE) wurden entfernt. |
02.05.2024 | 23.4 | DBMS_CRYPTO | MD4, MD5, DES, 3DES, RC4 Standardmäßige Deaktivierung der zu MD4, MD5, DES, 3DES und RC4 gehörenden Algorithmen für DBMS_CRYPTO.
|
02.05.2024 | 23.4 | TLS | TLS Die sqlnet.ora‑Parameter ALLOW_MD5_CERTS und ALLOW_SHA1_CERTS sind in 26ai veraltet. Verwenden Sie stattdessen den neuen sqlnet.ora‑Parameter ALLOWED_WEAK_CERT_ALGORITHMS, der mit Oracle Database 26ai eingeführt wurde. |
02.05.2024 | 23.4 | TLS | Schwache Cipher standardmäßig deaktivieren Der Parameter SSL_ENABLE_WEAK_CIPHERS wurde im Oktober 2023 eingeführt, um schwache TLS‑Cipher optional zu aktivieren oder zu deaktivieren; der Standardwert war TRUE. Um „secure by default“ zu sein, ist SSL_ENABLE_WEAK_CIPHERS seit Version 23.4 standardmäßig auf FALSE gesetzt. |
02.05.2024 | 23.4 | TLS, NNE | RSA, DH, DSA Erhöhung der minimalen Schlüssellängen im FIPS‑Modus. Ab 26ai werden im FIPS‑Modus mindestens 2048‑Bit‑Schlüssellängen für RSA, Diffie‑Hellman (DH) und den Digital Signature Algorithm (DSA) unterstützt. Geringere Schlüssellängen sind nur im Nicht‑FIPS‑Modus zulässig. |
17.10.2023 | 19.21 | TLS | TLS Schwache Cipher standardmäßig deaktivieren. Der Parameter SSL_ENABLE_WEAK_CIPHERS wurde eingeführt, um schwache TLS‑Cipher optional zu aktivieren oder zu deaktivieren; der ursprüngliche Standardwert war TRUE. |
19.04.2023 | 23.1 | TLS | TLS Einstellung der Unterstützung für SSLv3, TLS 1.0 und TLS 1.1 |
19.04.2023 | 23.1 | TLS | TLS Einstellung der Unterstützung für DH Anon Ciphers.
|
13.08.2021 | 21c | TLS | TLS Einstellung der Unterstützung für die anonyme RC4 Cipher Suite (SSL_DH_anon_WITH_RC4_128_MD5) Die Verwendung der anonymen RC4 Cipher Suite für nicht authentifizierte TLS‑Verbindungen wird ab 21c nicht mehr unterstützt. |
13.05.2021 | 21c | NNE, DBMS_CRYPTO | SHA1 Verwenden Sie SHA-1 für NNE und DBMS_CRYPTO nicht mehr. |
Erste Schritte mit der Oracle Database-Sicherheit
Advanced Security testen
Erleben Sie Advanced Security, indem Sie Ihre wichtigsten Anwendungsfälle auf LiveLabs konfigurieren. In dieser Übung stehen Oracle Advanced Security‑Funktionen wie Transparent Data Encryption (TDE) und Data Redaction im Mittelpunkt. Erfahren Sie, wie Sie diese Funktionen einrichten, um Ihre Datenbanken und sensiblen Daten zu schützen. Führen Sie den Workshop auf Ihrem eigenen Mandanten aus oder reservieren Sie kostenlos einen Termin, um den Workshop kostenlos in LiveLabs auszuführen.
Key Vault testen
In diesem Lab werden Sie eine mit TDE verschlüsselte Oracle Database 19c von einem lokalen Wallet zu Oracle Key Vault migrieren, um ein zentrales Schlüsselmanagement einzurichten. Lernen Sie, TDE‑Masterkeys für PCI‑DSS‑Compliance hochzuladen und zu entfernen, getaggte Schlüssel für eine einfachere Zuordnung von PDBs zu verwenden und einen wiederholbaren, auditierbaren Workflow für Schlüsselzentralisierung und ‑rotation aufzubauen. Führen Sie den Workshop auf Ihrem eigenen Mandanten aus oder reservieren Sie einen Termin, um den Workshop kostenlos in LiveLabs auszuführen.
Key Vault testen
Dieser Workshop beleuchtet die erweiterten SSH‑Schlüsselmanagement‑Funktionen von Oracle Key Vault und zeigt, wie Sie SSH‑Schlüssel zentralisieren – in einer robusten, von der Policy gesteuerten Umgebung, die das Risiko von Anmeldeinformationsdiebstahl oder Fehlkonfiguration minimiert. Lernen Sie, SSH‑Schlüsselpaaren direkt in Key Vault zu speichern, zu verwalten und zu rotieren – wobei private Schlüssel als nicht extrahierbar festgelegt werden können, sodass sie selbst bei einem kompromittierten Server geschützt bleiben.
Data Safe testen
Erleben Sie Data Safe , indem Sie Ihre wichtigsten Anwendungsfälle auf LiveLabs konfigurieren.Dies ist ein Übersichts-Lab. Der Fokus liegt auf der Bewertung von Datenbankkonfigurationen und Sicherheitskontrollen, der Analyse von Benutzersicherheit und Berechtigungen, der Überwachung von Benutzeraktivitäten durch Audits und Warnmeldungen, der Erkennung und Maskierung sensibler Daten zur Einhaltung von Compliance-Vorgaben sowie der Minderung von Risiken durch SQL-Injection und kompromittierte Konten mithilfe von SQL Firewall.