Hoja de ruta criptográfica de Oracle AI Database
Hoja de ruta criptográfica de Oracle AI Database
Última actualización: febrero de 2026
La siguiente información describe los planes de Oracle para realizar cambios en los algoritmos de seguridad y en las políticas o configuraciones asociadas dentro de Oracle AI Database.
La información de este sitio está destinada a versiones que actualmente reciben soporte Premier de Oracle (según se describe en la política de soporte de por vida para productos tecnológicos de Oracle).
Estos avisos cubren cambios en las versiones de actualización. Las nuevas versiones con funciones pueden implementar nuevos algoritmos de seguridad o usar configuraciones predeterminadas diferentes a las de versiones publicadas anteriormente. La información sobre los cambios incluidos en nuevas versiones con funciones, como los cambios en criptografía, está disponible en las notas de la versión. Sin embargo, en algunos casos excepcionales, este sitio puede incluir avisos sobre cambios en una versión futura o incluso en versiones de acceso anticipado.
Exención de responsabilidad
La información a continuación resume los planes actuales de Oracle. Tiene como objetivo proporcionar información general al público. Esta hoja de ruta puede cambiar con poco o ningún aviso, aunque Oracle intentará notificar estos cambios con anticipación. En algunos casos, es posible que los cambios necesarios se publiquen solo después de una versión o actualización específica.
Información adicional y lecturas complementarias
Hoja de ruta criptográfica de Oracle JRE y JDK - Los procedimientos almacenados basados en Java dentro de la base de datos siguen la hoja de ruta criptográfica de Oracle JRE y JDK y no están cubiertos por los detalles que se presentan a continuación.
Política de soporte de por vida de Oracle Technology - Contiene información sobre las versiones de Oracle AI Database y sus plazos de soporte.
Blog: Cómo proteger Oracle AI Database 26ai para la era cuántica
Leadership Compass de KuppingerCole de 2025 para plataformas de seguridad de datos
Descubre por qué KuppingerCole ha reconocido a Oracle entre las líderes en seguridad de bases de datos
Cambios previstos
Cronograma propuesto | Versiones previstas y funciones afectadas | Acción prevista |
|---|---|---|
2H 2026 | 19c / TLS | Deshabilitar cifrados débiles por defecto Actualmente, el parámetro SSL_ENABLE_WEAK_CIPHERS está configurado por defecto en TRUE para mantener la compatibilidad con versiones anteriores. En una próxima versión, se prevé cambiar el valor predeterminado a FALSE, lo que deshabilitará estos cifrados a menos que el parámetro se establezca explícitamente en TRUE en el archivo sqlnet.ora:
|
2H 2026 | 19c / TLS | Eliminar la compatibilidad con TLS 1.0 y TLS 1.1 Actualmente, TLS 1.0 y 1.1 permanecen habilitados por defecto, salvo que SSL_VERSION se configure explícitamente para desactivarlos. En una próxima versión, habilitaremos la compatibilidad con TLS 1.3 y, al mismo tiempo, el valor predeterminado de SSL_VERSION será 1.3 y 1.2.Será necesario actualizar el valor de SSL_VERSION para incluir TLS 1.0 y/o 1.1 si deseas habilitarlos nuevamente. No será posible admitir TLS 1.0 ni TLS 1.1 cuando se utilice TLS 1.3. |
2H 2026 | 19c / NNE, DBMS_CRYPTO | Deshabilitar el cifrado 3DES y los algoritmos de hash MD2 y MD4 cuando la base de datos opere en modo FIPS 140-3 Actualmente, Oracle Database 19c ofrece soporte para FIPS 140-2. Una próxima versión incluirá soporte para FIPS 140-3. Como parte de esa versión, cuando la base de datos opere en modo FIPS 140-3, se deshabilitarán el hashing MD2 y MD4 y el cifrado 3DES. |
1H 2027 | 19c / TLS | Permitir la desactivación de grupos de curvas elípticas débiles Una próxima versión introducirá un nuevo parámetro, SSL_DISABLE_WEAK_EC_CURVES, con un valor predeterminado de false. Cuando este parámetro se establezca en TRUE, deshabilitará las curvas ECC con una longitud de clave inferior a 256 bits, incluidas: sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 En el futuro, cambiaremos el valor predeterminado de este nuevo parámetro a TRUE. |
1H 2027 | 26ai / TLS | Deshabilitar por defecto las curvas elípticas débiles Actualmente, el parámetro SSL_DISABLE_WEAK_EC_CURVES está configurado por defecto en false. Establecer este valor en true deshabilita las curvas ECC con una longitud de clave inferior a 256 bits, como: sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 En el futuro, cambiaremos el valor predeterminado de este nuevo parámetro a TRUE. SSL_DISABLE_WEAK_EC_CURVES está en desuso y se reemplaza por TLS_KEY_EXCHANGE_GROUPS, cuyo valor predeterminado es hybrid, ec, weak, ml-kem. La configuración weak habilita las curvas ECC débiles mencionadas anteriormente. Al mismo tiempo que se cambie el valor predeterminado de SSL_DISABLE_WEAK_EC_CURVES, también se eliminará weak del valor predeterminado de TLS_KEY_EXCHANGE_GROUPS. |
Cambios implementados
Fecha de publicación | Versión impactada | Función impactada | Algoritmo/Protocolo y Acción |
|---|---|---|---|
20/01/2026 | 23.26.1 | TLS (solo 1.3) | Híbrido Se agregó la opción de usar un modo híbrido de intercambio de claves. Esto combina ECDHE con ML-KEM. El beneficio es ofrecer mayor seguridad en el intercambio de claves TLS frente a amenazas cuánticas de “capturar ahora, descifrar después”. El intercambio de claves híbrido requeriría comprometer ambos algoritmos antes de que se vea afectada la clave de sesión. Actualizar TLS_KEY_EXCHANGE_GROUPS a:
|
15/10/2025 | 23.26.0 | TLS (solo 1.3) | ML-KEM Se incorporó la opción de elegir ML-KEM como el cifrado de intercambio de claves. Esto está pensado para brindar resistencia cuántica a los datos TLS en tránsito. Se agregó soporte para certificados ML-DSA. Nuevo parámetro TLS_KEY_EXCHANGE_GROUPS agregado a sqlnet.ora para configuración de intercambio de claves TLS. Valores permitidos: ec (ECDHE), weak y ml-kem. Ese es el orden de prioridad si no se especifica ningún valor. |
02/01/2025 | 23.7 | TLS (solo 1.2) | Grupos de curvas elípticas TLS Permite activar o desactivar curvas elípticas débiles en conexiones TLS usando el parámetro SSL_DISABLE_WEAK_EC_CURVES, cuyo valor por defecto es FALSE. Conforme a RFC8422, únicamente se mantendrá el soporte para las curvas elípticas secp256r1, secp384r1, secp521r1 y x25519. Según este RFC, las siguientes curvas se consideran débiles: sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1 Por defecto, estas curvas permanecen activas, pero el nuevo parámetro de configuración permite deshabilitarlas cuando se quiera. |
02/05/2024 | 23.4 | NNE | MD4, MD5, DES, 3DES, RC4 Se quitaron los algoritmos MD4, MD5, DES, 3DES y RC4 del Native Network Encryption (NNE) para mayor seguridad. |
02/05/2024 | 23.4 | DBMS_CRYPTO | MD4, MD5, DES, 3DES, RC4 Por defecto, se desactivan los algoritmos MD4, MD5, DES, 3DES y RC4 en DBMS_CRYPTO para reforzar la seguridad.
|
02/05/2024 | 23.4 | TLS | TLS En 26ai, los parámetros ALLOW_MD5_CERTS y ALLOW_SHA1_CERTS de sqlnet.ora quedan obsoletos. Ahora, se debe usar el nuevo parámetro ALLOWED_WEAK_CERT_ALGORITHMS para gestionar certificados débiles. |
02/05/2024 | 23.4 | TLS | Deshabilitar cifrados débiles por defecto El parámetro SSL_ENABLE_WEAK_CIPHERS, introducido en octubre de 2023, permite activar o desactivar cifrados TLS débiles, con TRUE como valor por defecto. Para garantizar seguridad por defecto, SSL_ENABLE_WEAK_CIPHERS viene configurado en FALSE a partir de la versión 23.4. |
02/05/2024 | 23.4 | TLS, NNE | RSA, DH, DSA Incrementar la longitud de clave para mayor seguridad en modo FIPS. A partir de 26ai, en modo FIPS se exige un mínimo de 2048 bits para las claves RSA, Diffie-Hellman (DH) y DSA, garantizando mayor seguridad. En modo no FIPS, se permiten longitudes de clave menores. |
17/10/2023 | 19.21 | TLS | TLS Cifrados débiles desactivados por defecto. El parámetro SSL_ENABLE_WEAK_CIPHERS permite activar o desactivar cifrados TLS débiles, viniendo por defecto en TRUE. |
19/04/2023 | 23.1 | TLS | TLS SSLv3, TLS 1.0 y TLS 1.1 ya no son compatibles. |
19/04/2023 | 23.1 | TLS | TLS Los cifrados DH anónimos ya no son compatibles.
|
13/08/2021 | 21c | TLS | TLS La suite de cifrado RC4 anónima (SSL_DH_anon_WITH_RC4_128_MD5) ya no es compatible. A partir de 21c, las conexiones TLS no autenticadas ya no pueden usar la suite de cifrado RC4 anónima. |
13/05/2021 | 21c | NNE, DBMS_CRYPTO | SHA1 SHA-1 queda obsoleto para NNE y DBMS_CRYPTO. |
Descubre la seguridad de bases de datos de Oracle
Prueba Advanced Security
Prueba Advanced Security configurando tus casos de uso principales en LiveLabs. Este laboratorio se centra en las funciones de Oracle Advanced Security, como Transparent Data Encryption (TDE) y Data Redaction. Descubre cómo configurar estas capacidades para proteger tus bases de datos y datos sensibles. Realiza este taller en tu propio arrendamiento o reserva un horario para usar LiveLabs sin costo.
Prueba Key Vault
En este laboratorio, aprenderás a migrar una base de datos Oracle 19c cifrada con TDE de un wallet local a Oracle Key Vault, logrando una gestión centralizada de claves. Aprende a cargar y eliminar claves maestras TDE para cumplir con PCI DSS, usar claves etiquetadas para facilitar la asociación con PDB y establecer un flujo de trabajo repetible y auditable para la centralización y rotación de claves. Lleva a cabo este taller en tu inquilino o programa una hora para realizarlo gratis en LiveLabs.
Prueba Key Vault
Este taller profundiza en las capacidades avanzadas de gestión de claves SSH de Oracle Key Vault, demostrando cómo centralizar las claves SSH en un entorno seguro y controlado por políticas, reduciendo al mínimo el riesgo de robo de credenciales o errores de configuración. Aprende a almacenar, controlar y rotar pares de claves SSH directamente en Key Vault, donde las claves privadas pueden configurarse como no extraíbles para que, incluso si un servidor se ve comprometido, las claves permanezcan protegidas.
Prueba Data Safe
Descubre Data Safe mientras configuras tus casos de uso de claves en LiveLabs.Este es un laboratorio práctico de introducción. Se centra en evaluar las configuraciones de la base de datos y los controles de seguridad, analizar la seguridad de los usuarios y sus privilegios, monitorear la actividad de los usuarios mediante auditorías y alertas, descubrir y enmascarar datos sensibles para el cumplimiento normativo, y mitigar riesgos de inyección SQL y de cuentas comprometidas mediante SQL Firewall.