Ao realizar uma migração de um Pluggable Database (PDB), cujo ambiente de origem era on-premise e o destino foi a Oracle Cloud DBCS, identificamos uma falha durante a execução do backup nativo do DBCS. O erro apresentado foi o seguinte:
ORA-28361: master key not yet set
Esse erro ocorre, principalmente, quando o PDB de origem não possui criptografia TDE (Transparent Data Encryption) habilitada. Ao ser migrado para o ambiente DBCS, o PDB permanece com o status OPEN_NO_MASTER_KEY, o que impede a correta realização de operações como backup, entre outras funcionalidades que dependem da chave mestra (master key).
Neste artigo, abordaremos brevemente os conceitos fundamentais da criptografia TDE no Oracle, explicaremos por que esse problema ocorre e apresentaremos, na prática, o passo a passo necessário para solucionar o erro ORA-28361 e restabelecer o funcionamento completo do novo PDB no ambiente da Oracle Cloud.
Para um melhor entendimento deste tema, recomenda-se a leitura das seguintes notas técnicas oficiais disponíveis no My Oracle Support. Elas complementam este artigo com orientações detalhadas sobre o erro OPEN_NO_MASTER_KEY e os procedimentos corretos para ativação da chave de criptografia (master key) em PDBs na Oracle Cloud:
- [OCI-C]: Newly Created PDB Inside The Container Database Shows Wallet Error “OPEN_NO_MASTER_KEY” (Doc ID 2443398.1)
- Creating and Activating a Master Encryption Key for a PDB (in OCI and OCI-Classic) (Doc ID 2469398.1)
- WALLET_STATUS is OPEN_NO_MASTER_KEY in new pdb (Doc ID 3028669.1)
Essas documentações oficiais fornecem instruções práticas e são altamente recomendadas, especialmente para ambientes DBCS em OCI que envolvem a criação de novos PDBs sem chave de criptografia ativa.
Para usar o Oracle Transparent Data Encryption (TDE) em um pluggable database (PDB), você deve criar e ativar uma master encryption key (chave mestra de criptografia) para o PDB.
O que é Transparent Data Encryption (TDE)?
O Transparent Data Encryption (TDE) é um recurso do Oracle Database que permite a criptografia de dados sensíveis armazenados em tabelas e tablespaces, com o objetivo de proteger essas informações contra acessos não autorizados.
Após criptografados, os dados são descriptografados de forma transparente no momento do acesso por usuários ou aplicações autorizadas. Isso significa que, para quem tem permissão, a leitura dos dados ocorre normalmente, sem necessidade de ações manuais para descriptografá-los.
O TDE é especialmente eficaz para proteger os dados armazenados em mídia física — também chamados de dados em repouso (data at rest) — em situações como perda, roubo ou acesso indevido ao meio de armazenamento (por exemplo, datafiles no sistema operacional).
Embora o Oracle Database utilize mecanismos robustos de autenticação, autorização e auditoria para proteger os dados internamente, esses mecanismos não se aplicam diretamente aos arquivos físicos de dados no sistema operacional. Para isso, o TDE atua como uma camada adicional de segurança, criptografando os dados diretamente nesses arquivos.
A fim de evitar a descriptografia não autorizada, o TDE armazena as chaves de criptografia em um módulo de segurança externo ao banco de dados, denominado keystore (repositório de chaves).
Como parte da implementação do TDE, é possível configurar o Oracle Key Vault, uma solução que permite o gerenciamento centralizado dos keystores (também chamados de virtual wallets no contexto do Oracle Key Vault) em toda a infraestrutura da organização.
Por exemplo, é possível carregar um software keystore no Oracle Key Vault, migrar o banco de dados para utilizá-lo como keystore padrão, e então compartilhar seu conteúdo com outros nós do Oracle Real Application Clusters (Oracle RAC) — primários e de contingência (standby) —, otimizando assim as operações administrativas diárias em ambientes com dados criptografados.
