Protection de vos données avec le chiffrement d'enveloppe-Plan Standard

Le chiffrement d'enveloppe consiste à chiffrer des données à l'aide d'une clé de chiffrement de données(DEK)A cryptographic key used to encrypt data that is stored in an application., puis à encapsuler la clé de chiffrement de données avec une clé racineA symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service. que vous pouvez entièrement gérer. Les clés racine de votre instance de service Hyper Protect Crypto Services sont également encapsulées et protégées par la clé principaleAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.du module de sécurité matérielle (HSM).

Avec le chiffrement d'enveloppes, Hyper Protect Crypto Services protège vos données au repos avec un chiffrement avancé et offre les avantages suivants :

Tableau 1. Décrit les avantages du chiffrement géré par le client
Avantage	Description
Clés de chiffrement gérées par le client	Avec le service, vous pouvez mettre à disposition des clés racine pour assurer la sécurité des données chiffrées dans le cloud. Les clés racine sont utilisées en tant que clés d'encapsulage de clés pour vous aider à gérer et à protéger les clés DEK (Data Encryption Key) mises à disposition dans les services de données IBM Cloud. Vous décidez de Importer vos clés racine existantes ou de Hyper Protect Crypto Services Générer des clés root en votre nom.
Protection de l'intégrité et de la confidentialité	Hyper Protect Crypto Services utilise l'algorithme AES (Advanced Encryption Standard) en mode CBC (Cipher Blocker Chaining) pour créer et protéger les clés. Lorsque vous créez des clés dans le service, Hyper Protect Crypto Services les génère dans l'instance Hyper Protect Crypto Services, et la clé principale chiffre les clés pour garantir que vous seul avez un accès.
Destruction cryptographique des données	Si votre organisation détecte un problème de sécurité ou que votre application n'a plus besoin d'un ensemble de données, vous pouvez décider de détruire définitivement les données du cloud. Lorsque vous supprimez une clé racine qui protège d'autres clés DEK, les données associées à la clé ne sont plus accessibles ou ne peuvent plus être déchiffrées.
Contrôle d'accès utilisateur délégué	En affectant des rôles Cloud Identity and Access Management (IAM), Hyper Protect Crypto Services prend en charge un système de contrôle d'accès centralisé pour permettre un accès granulaire aux clés. Pour plus d'informations, voir Octroi de l'accès aux clés.

Clés utilisées dans le chiffrement d'enveloppe

Les clés suivantes sont utilisées dans le chiffrement d'enveloppe pour le chiffrement avancé et la gestion des données :

Clés principales: Les clés principales, également appelées clés principales HSM, sont des clés de chiffrement utilisées pour protéger les instances Hyper Protect Crypto Services. La clé principale fournit le contrôle intégral du module de sécurité matérielle et la propriété de la racine de la confiance qui chiffre l'ensemble de la hiérarchie des clés, y compris Clés racine et Clés standard.
Clés racine (root): Les clés racine, aussi appelées clés racine client (CRK), sont des ressources primaires dans Hyper Protect Crypto Services. Il s'agit de clés d'encapsulage de clés symétriques utilisées en tant que racines de confiance pour l'encapsulage (chiffrement) et le désencapsulage (déchiffrement) d'autres clés qui sont stockées dans le service de données. Dans Hyper Protect Crypto Services, vous pouvez créer, stocker et gérer le cycle de vie des clés racine pour obtenir un contrôle total des autres clés stockées dans le cloud.
Clé standard: Clés standard, qui peuvent être utilisées en tant que clés de chiffrement de données (DEK) que vous utilisez pour stocker des données chiffrées. Elles sont fournies par des applications appartenant à des utilisateurs et utilisées pour chiffrer les données stockées dans des applications. Les clés racine qui sont gérées dans Hyper Protect Crypto Services servent de clés d'encapsulage pour protéger les clés DEK.

Une fois que vous avez créé une clé dans Hyper Protect Crypto Services, le système renvoie un ID de clé utilisé uniquement pour identifier la ressource de clé. Vous pouvez utiliser cette valeur d'ID pour effectuer des appels API au service.

Fonctionnement

Le chiffrement d'enveloppe associe la puissance de plusieurs algorithmes de chiffrement pour protéger les données sensibles du cloud. Il fonctionne en encapsulant une ou plusieurs clés DEK avec un chiffrement avancé via une clé racine que vous pouvez intégralement gérer. Cette procédure d'encapsulage de clés crée des clés DEK encapsulées qui protègent les données stockées contre une exposition ou des accès non autorisés. Le désencapsulage d'une clé DEK annule la procédure de chiffrement d'enveloppe à l'aide de la même clé racine et génère des données déchiffrées et authentifiées.

Les clés racine qui sont gérées dans une instance de service Hyper Protect Crypto Services sont également chiffrées par la clé principale qui fournit un contrôle complet de l'ensemble de la hiérarchie de clés.

Le diagramme ci-après présente une vue contextuelle du chiffrement d'enveloppe.

Le diagramme présente une vue contextuelle du chiffrement d'enveloppe. — Figure 1. Vue contextuelle du chiffrement de l'enveloppe

Le chiffrement d'enveloppe est abordé dans le document NIST Special Publication 800-57, Recommendation for Key Management. Pour en savoir plus, voir NIST SP 800-57 Pt. 1 Rev. 4

Encapsulage de clés

Les clés racine permettent de regrouper, de gérer et de protéger les clés DEK (Data Encryption Key) stockées dans le cloud. Vous pouvez encapsuler une ou plusieurs clés DEK avec un chiffrement avancé en désignant une clé racine dans Hyper Protect Crypto Services et la gérer intégralement.

Après avoir désigné une clé racine dans Hyper Protect Crypto Services, vous pouvez envoyer une demande d'encapsulation de clé au service à l'aide de l'API de service de gestion de clésHyper Protect Crypto Services. L'opération d'encapsulage de clés protège à la fois la confidentialité et l'intégrité d'une clé DEK.

Le diagramme suivant présente le déroulement du processus d'encapsulage de clés.

Encapsulage de données — Figure 2. Wrapping data

Désencapsulage de clés

La procédure de désencapsulage d'une clé DEK déchiffre le contenu d'une clé DEK et authentifie son contenu en renvoyant les informations de clé de la clé d'origine au service de données.

Si votre application métier a besoin d'accéder au contenu de vos clés DEK encapsulées, vous pouvez utiliser l'API de service de gestion de clésHyper Protect Crypto Services pour envoyer une demande de désencapsulage au service. Pour désencapsuler une clé DEK, vous devez indiquer la valeur de l'ID de la clé racine et la valeur ciphertext renvoyée lors de la demande d'encapsulage initiale.

Le diagramme suivant présente le déroulement de la procédure de désencapsulage de clés.

Désencapsulage des données — Figure 3. Déballage des données

Une fois que vous avez envoyé la demande de désencapsulage, le système annule la procédure d'encapsulage de clés en utilisant les mêmes algorithmes AES. Une opération de désencapsulage réussie renvoie une valeur plaintext codée en base64 pour votre service de données au repos IBM Cloud.

Etapes suivantes

Hyper Protect Crypto Services prend en charge l'intégration à d'autres services. Avec le chiffrement d'enveloppe, Hyper Protect Crypto Services fournit la protection avancée de vos données stockées dans les services intégrés.

Pour obtenir la liste complète des services pris en charge pour intégration, voir Intégration de services.
Pour savoir comment créer une clé racine pour le chiffrement d'enveloppe, voir Création de clés racine.
Pour savoir comment utiliser vos propres clés racine pour le chiffrement d'enveloppe, voir Importation de clés racine.