Serviceinstanz initialisieren-Standardplan
Bevor Sie IBM Cloud® Hyper Protect Crypto Services zum Verwalten von Verschlüsselungsschlüsseln und zum Ausführen von Verschlüsselungsoperationen verwenden können, müssen Sie zuerst Ihre Serviceinstanz initialisieren.
Die Initialisierung der Serviceinstanz ist der Prozess, bei dem der Masterschlüssel geladen wird, sodass Sie das Eigentumsrecht an dem Hardwaresicherheitsmodul(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. der Cloud von Hyper Protect Crypto Services übernehmen und Eigner des vertrauenswürdigen Stammverzeichnisses sein können, das die gesamte Hierarchie der Verschlüsselungsschlüssel verschlüsselt.
Zum Initialisieren Ihrer Serviceinstanz müssen Sie SignaturschlüsselAn encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. für Administratoren für VerschlüsselungseinheitenA single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. erstellen, Quorumauthentifizierungsschwellenwerte festlegen, um den Modus 'imprint'An operational mode in which crypto units are assigned to a user.zu verlassen, und den MasterschlüsselAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. in die Verschlüsselungseinheiten laden.
Erläuterungen zu Administratoren und Signaturschlüsseln
Eine Verschlüsselungseinheit besteht aus einem HSM und dem zugehörigen dedizierten Software-Stack. Wenn Sie eine Produktionsumgebung einrichten, wird empfohlen, mindestens zwei Verschlüsselungseinheiten für hohe Verfügbarkeit zuzuordnen, wenn Sie eine Hyper Protect Crypto Services-Instanz erstellen. Die beiden Verschlüsselungseinheiten befinden sich in verschiedenen Verfügbarkeitszonen in der Region, die Sie beim Erstellen der Serviceinstanz auswählen. Alle Verschlüsselungseinheiten in einer Serviceinstanz sollten gleich konfiguriert sein. Wenn auf eine Verfügbarkeitszone nicht zugegriffen werden kann, können die Verschlüsselungseinheiten in einer Serviceinstanz austauschbar verwendet werden. Verschlüsselungseinheiten enthalten den Masterschlüssel, der den Inhalt des Schlüsselspeichers verschlüsselt, einschließlich der Rootschlüssel und der Standardschlüssel im Schlüsselspeicher-Keystore und der Enterprise PKCS #11-Schlüssel im EP11-Keystore.
Um Befehle für Verschlüsselungseinheiten zum Ausführen von Aktionen absetzen zu können, müssen Sie den Verschlüsselungseinheiten Administratoren zuordnen. Jeder Administrator verfügt über einen zugeordneten Signaturschlüssel für die Identitätsauthentifizierung. Das folgende Ablaufdiagramm zeigt, wie die Signaturschlüssel erstellt und einer Serviceinstanz mit zwei Verschlüsselungseinheiten zugeordnet werden.
Signaturschlüssel werden anhand der folgenden Vorgehensweise erstellt und zugewiesen:
- Der Administrator erstellt die Signaturschlüsselpaare. Die privaten und öffentlichen Schlüsselteile werden auf Ihrer lokalen Workstation oder Smartcard gespeichert, je nachdem, wie Sie Ihre Serviceinstanz initialisieren.
- Der Administrator wird hinzugefügt, indem der öffentliche Signaturschlüsselteil der Verschlüsselungseinheit zugewiesen wird. Der öffentliche Schlüsselteil wird in einem Zertifikat gespeichert, das in einer Zielverschlüsselungseinheit installiert ist, um einen Administrator für Verschlüsselungseinheiten zu definieren.
Erläuterungen zum Imprint-Modus und zu Signaturschwellenwerten
Die Verschlüsselungseinheiten beginnen in einem Status, der als Imprint-Modus bezeichnet wird. Eine Verschlüsselungseinheit im Imprint-Modus ist weniger sicher, da Aktionen für eine Verschlüsselungseinheit im Imprint-Modus nicht mit Administratorsignaturschlüsseln signiert werden müssen. Nachdem Sie Administratoren für Verschlüsselungseinheiten zugeordnet haben, können Sie Signaturschwellenwerte festlegen, um zu steuern, wie viele Administratorsignaturen für die Ausführung eines Befehls benötigt werden. Im Modus 'imprint' sind die Signaturschwellenwerte auf null gesetzt. Um den Imprint-Modus zu beenden und die Verschlüsselungseinheit zu schützen, setzen Sie die Signaturschwellenwerte auf einen Wert, der größer als null ist.
Es gibt zwei Typen von Signaturschwellenwerten für eine Verschlüsselungseinheit. Der Hauptsignaturschwellenwert steuert, wie viele Signaturen benötigt werden, um die meisten Verwaltungsbefehle auszuführen. Der Widerrufssignaturschwellenwert steuert, wie viele Signaturen zum Entfernen eines Administrators benötigt werden. Einige Befehle benötigen unabhängig von der Einstellung des Signaturschwellenwerts nur eine Signatur.
Die Einstellung der Signaturschwellenwerte auf einen Wert größer als 1 ermöglicht eine Quorumauthentifizierung durch mehrere Administratoren für sensible Operationen. Der Maximalwert, auf den Sie den Signaturschwellenwert und den Widerrufssignaturschwellenwert setzen können, ist 8. Dieser Wert ist gleichzeitig die maximale Anzahl von Administratoren, die einer Verschlüsselungseinheit hinzugefügt werden können.
Wenn Sie Verschlüsselungseinheiten konfigurieren, werden Sie automatisch zur Eingabe der erforderlichen Anzahl von Signaturen auf der Basis des Operationstyps und der Angabe aufgefordert, ob sich die Verschlüsselungseinheiten im Modus 'imprint' befinden. Zu Referenzzwecken enthält die folgende Tabelle die erforderliche Anzahl Signaturen jeder Operation.
Operation | Befehle | Erforderliche Signaturen im Modus 'imprint' | Erforderliche Signaturen nach Verlassen des Modus 'imprint' |
---|---|---|---|
Administrator | |||
hinzufügen | tke cryptounit-admin-add |
Keine Signatur erforderlich. | Der aktuelle Signaturschwellenwert. |
Administrator entfernen | tke cryptounit-admin-rm |
Keine Signatur erforderlich. | Der aktuelle Schwellenwert für den Widerruf. |
Signaturschwellenwert festlegen | tke cryptounit-thrhld-set |
Wenn Sie den Modus 'imprint' verlassen, wird der neue Signaturschwellenwert verwendet. | Der aktuelle Signaturschwellenwert. |
Neues Masterschlüsselregister löschen | tke cryptounit-mk-clrnew |
nicht zulässig. | Eine Signatur. |
Aktuelles Masterschlüsselregister löschen | tke cryptounit-mk-clrcur |
nicht zulässig. | Eine Signatur. |
Register für neuen | |||
Masterschlüssel laden | tke cryptounit-mk-load |
nicht zulässig. | Eine Signatur pro Schlüsselabschnitt. Dieser Befehl generiert einen Importer-Schlüssel, der ebenfalls eine Signatur erfordert. Derselbe Administrator kann für alle Signaturen verwendet werden. |
Neues Masterschlüsselregister festschreiben | tke cryptounit-mk-commit |
nicht zulässig. | Der aktuelle Signaturschwellenwert. |
Sofort festlegen (Masterschlüsselregister abschließen) | tke cryptounit-mk-setimm |
nicht zulässig. | Eine Signatur. |
Kontrollpunkt festlegen | tke cryptounit-cp-btc tke cryptounit-cp-eddsa tke cryptounit-cp-sig-other |
nicht zulässig. | Der aktuelle Signaturschwellenwert. |
Verschlüsselungseinheit mit Nullen füllen | tke cryptounit-zeroize | Keine Signatur erforderlich. | Eine Signatur. |
Erläuterungen zum Masterschlüssel
Wenn sich die Verschlüsselungseinheiten nicht mehr im Imprint-Modus befinden, können Sie den Masterschlüssel in die Verschlüsselungseinheiten laden. Ein Masterschlüssel wird zum Verschlüsseln von Daten im Schlüsselspeicher verwendet. Mit dem Masterschlüssel besitzen Sie die Vertrauensgrundlage (Root of Trust), mit der die gesamte Schlüsselhierarchie verschlüsselt wird, einschließlich der Root- und Standardschlüssel im Schlüsselmanagement-Keystore sowie der Enterprise PKCS #11-Schlüssel (EP11) im EP11-Keystore. Jede Serviceinstanz verfügt über nur einen Masterschlüssel.
Zum Laden des Masterschlüssels verfügt jede Verschlüsselungseinheit über zwei Masterschlüsselregister: ein Register für den neuen Masterschlüssel und ein Register für den aktuellen Masterschlüssel. Der Wert im Register für aktuellen Masterschlüssel verschlüsselt den Inhalt des Schlüsselspeichers des Benutzers. Das neue Masterschlüsselregister wird verwendet, um den Wert im Register für den aktuellen Masterschlüssel für die Masterschlüsselrotation zu ändern.
Das folgende Ablaufdiagramm zeigt, wie sich der Status des Masterschlüsselregisters ändert und wie der Masterschlüssel geladen wird.
Im Diagramm lädt jede Verschlüsselungseinheit den Masterschlüssel mit den folgenden Schritten:
- Laden Sie das Register für neue Masterschlüssel mit dem Masterschlüssel. Nachdem der Masterschlüssel geladen wurde, befindet sich das neue Masterschlüsselregister im Status
Full uncommitted
. - Festschreiben des neuen Masterschlüsselregisters. Nachdem es festgeschrieben, befindet sich das neue Masterschlüsselregister im Status
Full committed
. - Aktivieren des Registers für den aktuellen Masterschlüssel. Dadurch wird der Wert des Registers für neue Masterschlüssel in das Register für den aktuellen Masterschlüssel kopiert und das Register für neue Masterschlüssel wird gelöscht.
Nächste Schritte
Abhängig von Ihren Geschäfts- und Sicherheitsanforderungen stellt Hyper Protect Crypto Services Ihnen zwei Tools und drei Optionen zur Verfügung, mit denen Sie Ihre Serviceinstanz initialisieren können. Weitere Informationen finden Sie in der Einführung zu Vorgehensweisen der Serviceinstanzinitialisierung.