如何在MongoDB客户端字段级加密中保持一致的加密密钥？

我正在使用 MongoDB 客户端字段级加密来加密和解密数据。但是，我注意到每次执行程序时，原始二进制密钥都会发生变化。这使得我很难检索以前加密的数据，因为我无法使用新密钥对其进行解密。

有没有办法在 MongoDB 中维护客户端字段级加密的一致加密密钥？如果可以，我该怎么做？

https://www.mongodb.com/docs/manual/core/csfle/fundamentals/manual-encryption/#std-label-csfle-fundamentals-manual-encryption

https://go.dev/play/p/6W8e0OiPV2L

我正在尝试在 MongoDB 社区项目中实现客户端字段级加密，以便在将文档中的某些字段存储到数据库之前对其进行加密，然后在从数据库检索它们时对其进行解密。

我一直在关注 MongoDB 文档，并且能够在第一次执行程序时成功加密和解密数据。但是，我注意到每次再次运行程序时密钥都会发生变化，并且我想保持密钥不变。

正确答案

这些行应该被删除：

// drop the key vault collection in case you created this collection
// in a previous run of this application.
if err = client.database(keyvaultdb).collection(keyvaultcoll).drop(context.todo()); err != nil {
    log.fatalf("collection.drop error: %v", err)
}

仅当密钥尚不存在时才需要以下行：

dataKeyID, err := clientEnc.CreateDataKey(context.TODO(), provider, dataKeyOpts)
if err != nil {
    log.Fatalf("CreateDataKey error: %v", err)
}

也许首先调用 clientenc.getkeybyaltname 来检查密钥是否存在。

通过说“原始二进制密钥发生变化”，我认为您的意思是数据加密密钥 (dek) 发生变化。这是由于存储 dek 的集合被删除所致。

请参阅密钥和密钥保管库：

客户主密钥 (cmk) 是您用来加密数据加密密钥 (dek) 的密钥….

数据加密密钥 (dek) 是用于加密 mongodb 文档中的字段的密钥。您将数据加密密钥存储在使用 cmk 加密的 key vault 集合中……

如果您删除数据加密密钥 (dek)，则使用该 dek 加密的所有字段将永久无法读取。

如果您删除 cmk，则使用该 cmk 加密的 dek 加密的所有字段将永久无法读取。