Claves raíz

Las claves raíz, también conocidas como claves raíz de cliente (CRK), son recursos primarios en Hyper Protect Crypto Services. Son claves para envolver claves simétricas que se utilizan como claves raíz de confianza para envolver (cifrando) y desenvolver (descifrando) otras claves de cifrado de datos (DEK) almacenadas en un servicio de datos. Con Hyper Protect Crypto Services, puede crear, almacenar y gestionar el ciclo de vida de las claves raíz. Las claves raíz que se crean en Hyper Protect Crypto Services son claves AES de 256 bits simétricas. A diferencia de una clave estándar, una clave raíz no puede abandonar los límites del servicio Hyper Protect Crypto Services. Para obtener más información, consulte Introducción al cifrado de sobre y Gestionar las claves.

Claves estándar

Las claves estándar son otros recursos en Hyper Protect Crypto Services para cifrar y descifrar datos directamente. Puede gestionar claves estándar siguiendo los pasos de Gestionar las claves.

Claves de cifrado de datos

Las claves de cifrado de datos (DEK) son claves criptográficas que se utilizan para el cifrado de datos. Las proporcionan aplicaciones propiedad de los usuarios y se utilizan para cifrar los datos almacenados en las aplicaciones. Las claves raíz que gestiona en Hyper Protect Crypto Services sirven como claves de envolvimiento para proteger las DEK. Para obtener más información, consulte Introducción al cifrado de sobre.

Cifrado de sobre

El cifrado de sobre es la práctica de cifrar datos con una DEK y, a continuación, cifrar dicha clave con una clave raíz que puede gestionar de forma integral. Para obtener más información, consulte Introducción al cifrado de sobre.

Módulo de seguridad de hardware

Un módulo de seguridad de hardware (HSM) es un dispositivo físico que protege y gestiona claves digitales para obtener una autenticación robusta, y proporciona un proceso criptográfico. Los HSM de IBM Cloud Hyper Protect Crypto Services tienen el certificado FIPS 140-2 Nivel 4, que es el nivel más alto de seguridad para el hardware criptográfico. A este nivel de seguridad, los mecanismos de seguridad física proporcionan un envoltorio completo de protección alrededor del módulo criptográfico con la intención de detectar y responder a todos los intentos no autorizados de acceso físico.

Unidades criptográficas

Una unidad criptográfica es una unidad individual que representa un HSM y la pila de software correspondiente dedicada al HSM para la criptografía. En Hyper Protect Crypto Services, están disponibles los siguientes tipos de unidades criptográficas:

• Unidad criptográfica operativa

  Cuando crea una instancia de Hyper Protect Crypto Services, el número de unidades criptográficas que especifica es el número de unidades criptográficas operativas. Para la alta disponibilidad y la recuperación tras desastre, debe configurar al menos dos unidades criptográficas operativas. Estas unidades criptográficas operativas se encuentran en distintas zonas de disponibilidad de la misma región donde se encuentra la instancia de servicio. Las unidades criptográficas operativas se utilizan para gestionar las claves de cifrado y realizar operaciones criptográficas.

• Unidad criptográfica de recuperación

  Si crea la instancia de servicio en regiones distintas de Madrid (eu-es), se asignan automáticamente dos unidades criptográficas de recuperación a la instancia de servicio sin costes adicionales; una en la misma región y otra en la región de recuperación tras desastre para dicha región. Se utiliza una unidad criptográfica de recuperación para generar la clave maestra aleatoria, que luego se exporta de forma segura a las unidades criptográficas operativas y a la otra unidad criptográfica de recuperación para inicializar la instancia de servicio.

  Las unidades criptográficas de recuperación también se pueden utilizar como unidades criptográficas de copia de seguridad que guardan una copia del valor de la clave maestra que utilizan las unidades criptográficas operativas. Si la clave maestra se pierde o se destruye, puede recuperar la clave maestra de una unidad criptográfica de recuperación utilizando mandatos administrativos TKE firmados.

  Si se utilizan tarjetas inteligentes para cargar la clave maestra, las unidades criptográficas de recuperación no son aplicables y se pueden ignorar. La copia de seguridad de la clave maestra se basa en la copia de seguridad de las tarjetas inteligentes en ese caso.

• Unidad criptográfica de migración tras error

  Las unidades criptográficas de migración tras error realizan una copia de seguridad de las unidades criptográficas y los almacenes de claves operativos en otra región, y se inicializan para proporcionar una migración tras error rápida en caso de desastre. Las unidades criptográficas de migración tras error cargan cuotas adicionales y ahora esta opción solo está disponible en las regiones de us-south y us-east, lo que significa que si crea su instancia en cualquiera de las dos regiones, las unidades criptográficas de migración tras error se encuentran en la otra región. Para obtener más información sobre cómo utilizar las unidades criptográficas de migración tras error en un desastre regional, consulte Restauración de los datos utilizando unidades criptográficas de migración tras error.

Administradores

Se pueden añadir administradores a las unidades criptográficas de destino para emitir mandatos en las unidades criptográficas. Puede añadir hasta ocho administradores a una unidad criptográfica para aumentar la seguridad. Cada administrador posee una clave de firma privada para la autenticación de identidad.

Claves de firma

Un administrador debe firmar todos los mandatos emitidos en la unidad criptográfica con una clave de firma. Las claves de firma que se crean en Hyper Protect Crypto Services son claves de curva elíptica (EC) P521. La parte privada de la clave de firma se utiliza para crear firmas. El componente público se coloca en un certificado que se instala en una unidad criptográfica de destino para definir un administrador de unidad criptográfica. Los mandatos que se emiten en modalidad de impresión no necesitan estar firmados con ninguna clave de firma.

Modalidad de impresión

Las unidades criptográficas asignadas a un usuario de IBM Cloud comienzan en un estado revisado conocido como modalidad de impresión. La mayoría de las operaciones de unidad criptográfica están inhabilitadas en la modalidad de impresión y una unidad criptográfica en modalidad de impresión no es segura. Puede añadir administradores en modalidad de impresión y salir de la modalidad de impresión utilizando un mandato firmado.Después de que la unidad criptográfica salga de la modalidad de impresión, deberán firmarse todos los mandatos para configurar una unidad criptográfica.Debe salir de la modalidad de impresión para poder cargar las claves maestras.

Autenticación de quórum

La autenticación de quórum es la forma de aprobar una operación por un número establecido de administradores de unidad criptográfica. Algunas operaciones confidenciales, como la confirmación de un registro de clave maestra, el cambio de los umbrales de firma y la adición o eliminación de administradores después de la modalidad de impresión de salidas de unidad criptográfica, requieren un número suficiente de administradores de unidad criptográfica para especificar sus credenciales. La autenticación de quórum asegura que ninguna persona puede realizar un cambio crítico en la unidad criptográfica. En su lugar, un número mínimo de administradores de unidad criptográfica (al menos dos) deben cooperar para realizar estas operaciones. La autenticación de quórum requiere que más de un administrador de unidad criptográfica apruebe una operación, lo que permite una capa adicional de protección en la unidad criptográfica.

Umbrales de firma

Los umbrales de firma de una unidad criptográfica controlan cuántas firmas administrativas son necesarias para ejecutar un mandato. En la modalidad de impresión, los umbrales de firma se establecen en cero. Para salir de la modalidad de impresión, establezca los umbrales de firma en un valor mayor que cero. Cuando se pone a cero una unidad criptográfica, los umbrales de firma se restablecen a cero.

Hay dos tipos de umbrales de firma en una unidad criptográfica. El umbral de firma principal controla la cantidad de firmas necesarias para ejecutar la mayoría de los mandatos administrativos. El umbral de firma de revocación controla la cantidad de firmas necesarias para eliminar un administrador. Algunos mandatos solo necesitan una firma, independientemente de cómo se haya establecido el umbral de firma.

Establecer los umbrales de firma en un valor mayor que uno permite la autenticación de quórum de varios administradores para operaciones confidenciales. El valor máximo que puede establecer el umbral de firma y el umbral de firma de revocación es de ocho, que es también el número máximo de administradores que se pueden añadir a una unidad criptográfica.

Clave maestra

La clave maestra, conocida también como la clave maestra de HSM, se utiliza para cifrar la instancia de servicio para el almacenamiento de claves. Es una clave AES simétrica de 256 bits. Con la clave maestra, se toma la propiedad del HSM de nube y es propietario de la raíz de confianza que cifra toda la jerarquía de claves de cifrado, incluyendo las claves raíz y las claves estándar en las claves de almacén de claves de gestión de claves y Enterprise PKCS #11 (EP11) en el almacén de claves EP11. Primero debe configurar la clave maestra para poder gestionar claves de cifrado. Una instancia de servicio solo puede tener una clave maestra. Si suprime la clave maestra de la instancia de servicio, puede destruir criptográficamente de forma efectiva todos los datos que se han cifrado con las claves gestionadas en el servicio.

Componente de la clave maestra

Si inicializa la instancia de servicio utilizando archivos de partes de clave, o utilizando tarjetas inteligentes junto con los programas de utilidad de gestión, una clave maestra consta de dos o tres partes de clave maestra.Las partes de clave maestra que se crean en Hyper Protect Crypto Services son claves AES de 256 bits simétricas. Por motivos de seguridad, cada componente de clave puede ser propiedad de una persona diferente.Las partes de claves se almacenan en los archivos de partes de claves de la estación de trabajo cuando se utiliza el Plugin de la CLI de TKE de IBM Cloud para cargar la clave maestra.Las partes de claves se almacenan en tarjetas inteligentes cuando se utilizan los Hyper Protect Crypto ServicesProgramas de utilidad de gestión para cargar la clave maestra.El propietario de la parte de la clave debe ser la única persona que conozca la contraseña del archivo o el número de identificación personal (PIN) de la tarjeta inteligente para la parte de la clave.

Plugin de CLI de IBM Cloud Trusted Key Entry

El plugin de interfaz de línea de mandatos (CLI) de Trusted Key Entry (TKE) es un plugin de CLI que funciona con la CLI de IBM Cloud. El plugin TKE proporciona un conjunto de funciones para gestionar unidades criptográficas que están asignadas a una cuenta de usuario de IBM Cloud. Puede utilizar el plugin de TKE para configurar administradores y para cargar la clave maestra con los requisitos de un nivel de seguridad medio. El plugin de la CLI de TKE proporciona dos métodos para inicializar instancias de servicio: Inicialización de instancias de servicio utilizando archivos de partes de claves e Inicialización de instancias de servicio utilizando unidades criptográficas de recuperación. Para ver la referencia de mandato completa, consulte Referencia del plugin de la CLI Trusted Key Entry.

Programas de utilidad de gestión

Los programas de utilidad de gestión proporcionan una forma alternativa de configurar instancias de servicio con claves de firma y componentes de clave maestra que se almacenan en tarjetas inteligentes con el nivel más alto de seguridad.Para utilizar los programas de utilidad de gestión, debe solicitar lectores de tarjetas inteligentes y tarjetas inteligentes soportados por IBM.Para obtener instrucciones detalladas sobre la instalación y configuración de los programas de utilidad de gestión, consulte Configuración de tarjetas inteligentes y programas de utilidad de gestión e Inicialización de instancias de servicio utilizando tarjetas inteligentes y programas de utilidad de gestión.

Tarjetas inteligentes

Una tarjeta inteligente se parece a una tarjeta de crédito con un chip incorporado.El chip puede llevar a cabo un conjunto limitado de operaciones criptográficas y se carga con software personalizado.En los programas de utilidad de gestión, el programa de utilidad de tarjeta inteligente carga software personalizado en la tarjeta inteligente para crear dos tipos de tarjetas inteligentes:

• Tarjetas inteligentes de entidad emisora de certificados: establecer un conjunto de tarjetas inteligentes que pueden trabajar juntas, denominada zona de tarjetas inteligentes.
• Tarjetas inteligentes de Enterprise PKCS #11 (EP11): retener una clave de firma de administrador y hasta 85 componentes de claves maestras. Con las tarjetas inteligentes de EP11, puede firmar un mandato utilizando una clave de firma privada que está almacenada en la tarjeta inteligente y cifrar un componente de clave maestra para la entrega a una unidad criptográfica.

Las tarjetas inteligentes están protegidas por un número de identificación personal (PIN) que se debe especificar en un teclado de PIN del lector de tarjetas inteligentes antes de que la tarjeta inteligente realice las operaciones. La tarjeta inteligente de EP11 tiene un solo PIN.La tarjeta inteligente de la entidad emisora de certificados tiene dos PIN y ambos se deben especificar para habilitar las operaciones.

En una tarjeta inteligente de EP11, si se especifica un PIN incorrecto tres veces, la tarjeta inteligente pasa a estar bloqueada y no se puede utilizar para operaciones que requieren entrada de PIN.Una tarjeta inteligente de EP11 se puede desbloquear utilizando el programa de utilidad de tarjeta inteligente.Necesita la tarjeta inteligente de la entidad emisora de certificados que se utiliza para inicializar la tarjeta inteligente de EP11 para desbloquear una tarjeta inteligente de EP11.Para desbloquear una tarjeta inteligente de EP11, seleccione Tarjeta inteligente de EP11 > Desbloquear la tarjeta inteligente de EP11 en el menú y siga las indicaciones.

Una tarjeta inteligente de la entidad emisora de certificados se bloquea si se especifica un PIN incorrecto cinco veces.Si una tarjeta inteligente de la entidad emisora de certificados se bloquea, no se puede desbloquear.

Lectores de tarjetas inteligentes

Un lector de tarjetas inteligentes es un dispositivo que se conecta a una estación de trabajo y permite que la estación de trabajo se comunique con una tarjeta inteligente.Para acceder a una tarjeta inteligente, la tarjeta inteligente debe estar insertada en el lector de tarjetas inteligentes. La mayoría de las operaciones con tarjetas inteligentes requieren que se introduzca el PIN de la tarjeta inteligente en el teclado de PIN del lector de tarjetas inteligentes.

Para poder utilizar el lector de tarjetas inteligentes, debe instalarse en la estación de trabajo un controlador para el lector de tarjetas inteligentes.Para obtener más información, consulte Instalación del controlador del lector de tarjetas inteligentes.

Programa de utilidad de tarjeta inteligente

El programa de utilidad de tarjeta inteligente es una de las dos aplicaciones que se instalan como parte de los programas de utilidad de gestión.Configura y gestiona las tarjetas inteligentes que utiliza la aplicación Trusted Key Entry (TKE).

Aplicación Trusted Key Entry

La aplicación Trusted Key Entry (TKE) es una de las dos aplicaciones que se instalan como parte de los programas de utilidad de gestión.Utiliza tarjetas inteligentes para cargar claves maestras en instancias de servicio y para llevar a cabo otras tareas de configuración para las instancias de servicio.

Keep Your Own Key

Hyper Protect Crypto Services da soporte a la característica Keep Your Own Key (KYOK). Puede configurar la clave maestra para que tome control completo del HSM de nube, de modo que tenga el control y la autoridad completos sobre las claves de cifrado que puede traer, controlar y gestionar. Nadie excepto usted tiene acceso a sus claves de cifrado.

PKCS #11

La API de PKCS (Public-Key Cryptography Standards) #11 define una API que no depende de la plataforma para señales criptográfica, tales como HSM y tarjetas inteligentes. Las aplicaciones existentes que utilizan PKCS #11 se pueden beneficiar de una seguridad mejorada utilizando la criptografía de claves seguras así como una interfaz sin estado, que hacen que las operaciones criptográficas sean mucho más eficientes. Para obtener más información, consulte API de PKCS #11.

Cryptoki

La interfaz de señal criptográfica definida en el estándar PKCS #11. Cryptoki sigue un enfoque sencillo basado en objetos, que trata los fines de la independencia de la tecnología y de la compartición de recursos.

Biblioteca de PKCS #11

Una biblioteca de PKCS #11 que implementa las funciones de API de Cryptoki que se especifican en el estándar PKCS #11. Con la biblioteca de PKCS #11, las aplicaciones pueden utilizar la API de PKCS #11 para acceder al HSM de nube de Hyper Protect Crypto Services para realizar operaciones criptográficas. Para obtener más información sobre cómo configurar la biblioteca, consulte Realización de operaciones criptográficas con la API de PKCS #11.

Señal de Cryptoki

Una vista lógica de un dispositivo criptográfico definido por Cryptoki. Para obtener más información, consulte PKCS #11 Cryptographic Token Interface Usage Guide Version 2.40-Vista lógica de una señal.

Sesión de criptoki

Una conexión lógica entre una aplicación y una señal. Cryptoki requiere que una aplicación abra una o más sesiones con una señal para obtener acceso a los objetos y las funciones de la señal. Una sesión puede ser una sesión de lectura/escritura (R/W) o una sesión de solo lectura (R/O). Para obtener más información, consulte Introducción a PKCS #11 - Sesión.

Objeto de Criptoki

Un elemento que se almacena en una señal. Un objeto puede ser datos, un certificado o una clave. Un objeto de datos se define mediante una aplicación.Un objeto de certificado almacena un certificado.Un objeto de clave almacena una clave criptográfica.Cada característica del objeto se define en un atributo. Para obtener más información, consulte Introducción a PKCS #11 - Objeto de clave.

Mecanismo

Un proceso para implementar una operación criptográfica.

Enterprise PKCS #11

Enterprise PKCS #11 (EP11) se ha diseñado para los clientes que buscan soporte para estándares abiertos y seguridad mejorada. La biblioteca de EP11 proporciona una interfaz sin estado que es parecida a la API de PKCS #11 estándar del sector. El HSM en el que se ejecutan unidades criptografías da soporte a la biblioteca de EP11, por lo que los usuarios pueden llamar a la API de EP11 a través de gRPC para su gestión de claves y cifrado de datos propios. Para obtener más información, consulte Documento de estructura de biblioteca de Enterprise PKCS #11(EP11).

gRPC

gRPC es una infraestructura moderna de llamada a procedimientos remotos (RPC) de alto rendimiento de código abierto que puede conectar servicios a centros de datos para llevar a cabo acciones de equilibrador de carga, rastreo, comprobación de estado y autenticación. Las aplicaciones acceden a la biblioteca de EP11 de Hyper Protect Crypto Services llamando a la API de EP11 de forma remota a través de gRPC. Para obtener más información sobre gRPC, consulte la documentación de gRPC.

Enterprise PKCS #11 a través de gRPC

IBM Cloud® Hyper Protect Crypto Services proporciona un conjunto de Enterprise PKCS #11 (EP11) a través de llamadas de API de gRPC (también denominadas GREP11), con las que se ejecutan todas las funciones criptográficas en un HSM de nube. EP11 a través de gRPC es una interfaz sin estado para operaciones criptográficas en la nube. Para más información sobre la API de GREP11, consulte Introducción a EP11 a través de gRPC y Referencia de la API de GREP11.