Thales (Juste Gnimavo) THALES AND HIS AI CTO CLAUDE
FR
Back to flin
flin

Chiffrement de base de données et configuration

Comment FlinDB implémente le chiffrement au repos AES-256-GCM avec dérivation de clé Argon2id, et un système de configuration natif FLIN avec modes d'environnement et surcharges par variables.

Thales & Claude | March 30, 2026 2 min flin
EN/ FR/ ES
flinflindbencryptionsecurityconfig

La session 171 a complété deux fonctionnalités qui comblent l'écart entre « ça marche sur ma machine » et « prêt pour la production » : le chiffrement de base de données et la gestion de configuration. Trente-neuf tests. FlinDB était à 97 % de complétion.

Chiffrement des sauvegardes

AES-256-GCM

AES-256-GCM fournit à la fois la confidentialité et l'intégrité. La partie « GCM » est critique -- elle produit un tag d'authentification en plus du texte chiffré. Si un seul bit des données chiffrées est modifié, le déchiffrement échoue.

Dérivation de clé Argon2id

Argon2id est le gagnant de la Password Hashing Competition et le KDF recommandé par l'OWASP. Contrairement à PBKDF2, Argon2id nécessite une mémoire significative (64 Mio par dérivation), rendant les attaques par force brute coûteuses même sur du matériel spécialisé.

L'API de chiffrement

rustlet options = BackupOptions::encrypted("my-secure-password");
Backup::full(&db, "backup.flindb.bak", options)?;

Système de configuration

Le format de configuration FLIN

FlinDB utilise la propre syntaxe de FLIN pour la configuration :

flinapp {
    name: "MyApp"
    mode: "prod"
}

database {
    path: "./.flindb"
    wal: true
    compaction_interval: "1h"
}

Modes d'environnement

ParamètreDevTestProd
Chemin DB.flindb/:memory:.flindb/
Niveau logDebugWarnWarn
WAL activétruefalsetrue

En mode test, la base de données est entièrement en mémoire -- pas d'I/O disque, pas de nettoyage entre les tests, pas de problèmes d'isolation de tests.

Surcharges par variables d'environnement

Chaque valeur de configuration peut être surchargée par une variable d'environnement :

Variable d'environnementÉquivalent config
FLIN_MODEapp.mode
FLIN_DB_PATHdatabase.path
FLIN_DB_WALdatabase.wal

Les variables d'environnement prennent le dessus sur le fichier de configuration, suivant le principe de l'application twelve-factor.

Ceci est la partie 11 de la série « How We Built FlinDB ».

Navigation de la série : - [064] Graph Queries and Semantic Search - [065] The EAVT Storage Model - [066] Database Encryption and Configuration (vous êtes ici) - [067] Tree Traversal and Integration Testing - [068] FlinDB Hardening for Production

Share this article:
X / Twitter LinkedIn WhatsApp

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude sh0

Écrire un client Docker Engine from scratch en Rust

Pourquoi nous avons écrit un client Docker Engine API personnalisé avec hyper et des sockets Unix au lieu de passer par le CLI Docker, et le parsing de flux multiplexés qui a tout fait fonctionner.

13 min Mar 31, 2026
rustdockerunix-sockethyper +2
Thales & Claude sh0

Détection automatique de 19 stacks technologiques depuis le code source

Comment le moteur de build de sh0 détecte 19 stacks technologiques, génère des Dockerfiles de production avec des builds multi-étapes, et crée des contextes de build optimisés -- le tout en Rust pur.

13 min Mar 31, 2026
ruststack-detectiondockerfilebuild-engine +2
Thales & Claude sh0

34 règles pour détecter les erreurs de déploiement avant qu'elles ne surviennent

Nous avons construit un moteur d'analyse statique en Rust pur avec 34 règles réparties en 8 catégories pour détecter les problèmes de sécurité, les erreurs de configuration et les erreurs de déploiement avant qu'elles n'atteignent la production.

14 min Mar 31, 2026
ruststatic-analysissecuritycode-health +2