IBM Cloud Docs
Einführung in Cloud HSM-Plan für Unified Key Orchestrator

Einführung in Cloud HSM-Plan für Unified Key Orchestrator

In IBM Cloud® Hyper Protect Crypto Services wird ein cloudbasiertes, mit FIPS 140-2 Stufe 4 zertifiziertes Hardwaresicherheitsmodul (HSM - Hardware Security Module) bereitgestellt, das standardisierte APIs zur Verwaltung von Verschlüsselungsschlüsseln und zur Durchführung von Verschlüsselungsoperationen bereitstellt.

Was ist Cloud-HSM?

Ein Hardwaresicherheitsmodul (HSM) ist eine physische Einheit, die digitale Schlüssel für starke Authentifizierung schützt und verwaltet und die Verschlüsselungsverarbeitung bereitstellt. HSMs schützen die Verschlüsselungsinfrastruktur, indem sie Verschlüsselungsschlüssel in einer manipulationssicheren Einheit sicher verwalten, speichern und schützen.

Hyper Protect Crypto Services enthalten ein cloudbasiertes, dediziertes HSM zur Verwaltung von Verschlüsselungsschlüsseln und zur Durchführung von Verschlüsselungsoperationen. Das mit FIPS 140-2 Stufe 4 zertifizierte HSM stellt das höchste Sicherheitsniveau für Verschlüsselung in der Cloudbranche bereit. Mit der Funktion "Keep Your Own Key" (KYOK) können Sie die Eigentümerschaft an Ihrem Cloud-HSM übernehmen, wodurch sichergestellt wird, dass niemand (einschließlich der Cloudadministratoren) Zugriff auf Ihre Verschlüsselungsschlüssel erhält. Auf diese Weise können Sie von der höchsten Stufe hardwarebasierter Verschlüsselung profitieren, ohne ein reales HSM auf Ihrer Workstation oder auf dem lokalen Server bereitstellen zu müssen.

Wenn Sie das Cloud-HSM Hyper Protect Crypto Services zum Schutz Ihrer Schlüssel und Daten verwenden möchten, müssen Sie zunächst die Steuerung des HSM übernehmen, indem Sie den MasterschlüsselAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.laden. Der Masterschlüssel als Key-Wrapping-Schlüssel ist Eigner der Vertrauensgrundlage (Root of Trust), mit der die gesamte Hierarchie der Verschlüsselungsschlüssel verschlüsselt wird. Weitere Informationen finden Sie unter Serviceinstanz initialisieren.

Verschlüsselungsoperationen durch Zugriff auf das Cloud-HSM durchführen

Hyper Protect Crypto Services stellen Sie einen Satz von Verschlüsselungsfunktionen bereit, die im Cloud-HSM ausgeführt werden. Sie können Verschlüsselungsoperationen wie die Schlüsselgenerierung, die Datenverschlüsselung und die Signaturprüfung ausführen. Greifen Sie dazu auf das Cloud-HSM mit der PKCS #11-API oder der Enterprise PKCS #11-API über gRPC (GREP11) zu.

Auf das Cloud-HSM mit der PKCS #11-API zugreifen

Public-Key Cryptography Standards(PKCS)#11 ist ein Branchenstandard, der eine plattformunabhängige API namens Cryptoki für Einheiten wie HSMs definiert, die Verschlüsselungsinformationen enthalten und Verschlüsselungsoperationen ausführen. Mit Hyper Protect Crypto Services können Sie die PKCS #11-Standard-API verwenden, um auf das Cloud-HSM mit der PKCS #11-Bibliothek zuzugreifen. Die Bibliothek verbindet Ihre Anwendungen mit dem Cloud-HSM, um Verschlüsselungsoperationen durchzuführen.

Mit der Unterstützung der PKCS #11-API müssen Sie Ihre vorhandenen Anwendungen, die den PKCS #11-Standard verwenden, nicht ändern. Die PKCS #11-Bibliothek akzeptiert die PKCS #11-API-Anforderungen aus Ihren Anwendungen und greift über Fernzugriff auf das Cloud-HSM zu, um die entsprechenden Verschlüsselungsfunktionen auszuführen. Weitere Informationen zur PKCS #11-API finden Sie in der Einführung in PKCS #11.

Auf das Cloud-HSM mit der GREP11-API zugreifen

Neben der PKCS #11-API können Sie auch die Enterprise PKCS #11 über gRPC-API (GREP11-API) verwenden, um auf das Cloud-HSM von Hyper Protect Crypto Services zuzugreifen. Enterprise PKCS #11(EP11) ist eine von IBMunterstützte Verschlüsselungs-API, die in Hyper Protect Crypto Services Cloud HSM aktiviert ist. EP11 wurde für Benutzer konzipiert, die Unterstützung für offene Standards und erweiterte Sicherheit wünschen. Die EP11-Bibliothek bietet eine Vielzahl von allgemeinen Verschlüsselungsfunktionen und stellt eine Schnittstelle bereit, die der PKCS #11 -API ähnelt. Vorhandene Anwendungen, die PKCS #11 verwenden, können von höherer Sicherheit profitieren, da die Anwendungen einfach migriert werden können, sodass die EP11-Anforderungen erfüllt werden.

Hyper Protect Crypto Services nutzt gRPC, um den fernen Anwendungszugriff auf das Cloud-HSM zu aktivieren. gRPC ist ein modernes Open-Source-RPC-Framework (Remote Procedure Call) mit hoher Leistung, das Services in und zwischen Rechenzentren für Lastausgleich, Traceerstellung, Statusprüfung und Authentifizierung verbinden kann. Mit gRPC können Anwendung über Fernzugriff auf das Cloud-HSM von Hyper Protect Crypto Services zugreifen, um EP11-Verschlüsselungsfunktionen aufzurufen. Weitere Informationen zur GREP11-API finden Sie in der Einführung in EP11 über gRPC.

Mit den PKCS #11- und GREP11-APIs können Sie ferne Prozeduraufrufe zur Verschlüsselung ausführen und standardmäßig Nachrichtengrößenbegrenzungen festlegen. Die maximale Größe empfangender Nachrichten beträgt 64 MB und die Größe abgehender Nachrichten ist nicht begrenzt.

Vergleich der PKCS #11-API und der GREP11-API

Sowohl die PKCS #11-API als auch die GREP11-API greifen auf die EP11-Bibliothek zu, die durch das Hyper Protect Crypto Services Cloud-HSM zur Ausführung von Verschlüsselungsfunktionen aktiviert wird. Das folgende Diagramm zeigt die beiden Optionen zur Interaktion mit dem Cloud-HSM.

Verschlüsselungsoperationen mit der PKCS #11 -API oder der GREP11-API ausführen{: caption="Abbildung 1. Verschlüsselungsoperationen mit der PKCS #11-API oder GREP11-API durchführen" caption-side="bottom"}

Im Vergleich zur GREP11-API ermöglicht die Implementierung der PKCS #11-Standard-API portierbare Anwendungen und stellt eine breitere Auswahl an Verschlüsselungsoperationen zur Verfügung. In der folgenden Tabelle werden die Hauptunterschiede zwischen den beiden Optionen dargestellt.

Tabelle 1. Vergleich der PKCS #11-API und der GREP11-API
Perspektive PKCS #11-API GREP11-API
Schnittstellenimplementierung Statusabhängige Schnittstelle. Das Ergebnis Ihrer API-Anforderung kann abhängig vom impliziten Status wie dem Sitzungsstatus und dem Anmeldestatus des Benutzers variieren. Im statusabhängigen Fall werden Daten auf dem Host gespeichert. Statusunabhängige Schnittstelle. Das Ergebnis Ihrer API-Anforderung bleibt immer gleich. Im statusunabhängigen Fall werden keine Daten auf dem Host gespeichert.
Vorherige Installation Sie müssen zunächst die PKCS #11-Bibliothek auf Ihrer lokalen Workstation installieren, um Zugriff auf das Cloud-HSM von Hyper Protect Crypto Services zu erhalten. Für den Zugriff auf das Hyper Protect Crypto Services Cloud-HSM ist keine zusätzliche Installation erforderlich.
Anwendungsmigration Wenn Ihre Anwendungen die PKCS #11-Standard-API verwenden, müssen Sie Ihre vorhandenen Anwendungen nicht speziell für EP11 oder gRPC ändern. Um die GREP11-API verwenden zu können, müssen Sie sicherstellen, dass Ihre Anwendungen auf der Basis der EP11-Anforderungen und der gRPC-Spezifikationen entwickelt werden.
Authentifizierungs- und Zugriffsmanagement Die PKCS #11-Bibliothek besitzt eine Gruppe von Standardbenutzertypen für die Authentifizierung. Sie müssen diese Benutzertypen in einer unabhängigen Konfigurationsdatei definieren und verschiedenen Benutzertypen die entsprechenden IBM Cloud Identity and Access Management-Rollen (IAM) für das Zugriffsmanagement zuordnen. Weitere Informationen finden Sie unter Bewährte Verfahren zum Einrichten von PKCS #11-Benutzertypen. Die GREP11-API verwendet die IAM-Standardrollen, um den entsprechenden Zugriff zu definieren. Weitere Informationen zu diesem Thema finden Sie unter Benutzerzugriff verwalten.
Zusätzliche Konfigurationsdatei Erforderlich. Sie müssen alle Parameter konfigurieren, die Benutzerrollen in dieser Datei enthalten, um die erfolgreiche Bereitstellung der PKCS #11-Bibliothek sicherzustellen. Weitere Informationen finden Sie in der Konfigurationsdateivorlage. Nicht erforderlich. Die Parameter, die zum Verbinden des Cloud-HSM von Hyper Protect Crypto Services benötigt werden, können zusammen mit dem Anwendungscode eingerichtet werden.
Keystore Bereitgestellt durch Hyper Protect Crypto Services. Die Schlüssel, die mit der PKCS #11-API generiert werden, werden durch den Masterschlüssel geschützt und in Clouddatenbanken gespeichert. Nicht von Hyper Protect Crypto Services bereitgestellt. Sie müssen die Schlüssel speichern, die von der GREP11-API auf der lokalen Workstation oder anderen Einheiten generiert werden.
Unterstützte Verschlüsselungsoperationen

Die PKCS #11-API unterstützt die meisten PKCS #11-Standardfunktionen:

  • Allgemeiner Zweck.
  • Slot- und Token-Management.
  • Sitzungsmanagement
  • Objektmanagement
  • Schlüsselgenerierung.
  • Wrapping von Schlüsseln durchführen und aufheben.
  • Ableiten von Schlüsseln.
  • Datenverschlüsselung und -entschlüsselung.
  • Nachrichtensignierung und -überprüfung.
  • Message-Digest-Erstellung.
  • Informationen zu Verfahren abrufen.
  • Abrufen und Festlegen von Schlüsselattributen.

Die GREP11-API unterstützt keine Funktionen für allgemeine Zwecke und keine Sitzungsmanagementfunktionen. Die meisten EP11-Verschlüsselungsfunktionen werden unterstützt:

  • Schlüsselgenerierung.
  • Wrapping, Unwrapping und erneutes Wrapping von Schlüsseln.
  • Ableiten von Schlüsseln.
  • Datenverschlüsselung und -entschlüsselung.
  • Nachrichtensignierung und -überprüfung.
  • Message-Digest-Erstellung.
  • Informationen zu Verfahren abrufen.
  • Abrufen und Festlegen von Schlüsselattributen.