Introduction de vos clés de chiffrement dans le cloud-Plan Standard

Les clés de chiffrement contiennent des sous-ensembles d'informations, tels que les métadonnées qui vous aident à identifier la clé et le matériel de clé utilisé pour chiffrer et déchiffrer les données.

Lorsque vous utilisez IBM Cloud® Hyper Protect Crypto Services pour créer des clés, le service génère des informations de clé cryptographique en votre nom qui sont enracinées dans les modules de sécurité matérielle (HSM) de votre instance Hyper Protect Crypto Services. Cependant, selon les besoins de votre entreprise, vous devrez peut-être générer les informations de clé à partir de votre solution interne, puis étendre votre infrastructure de gestion des clés sur site au cloud, en important les clés dans Hyper Protect Crypto Services.

Tableau 1. Décrit les avantages de l'importation de matériel de clé
Avantage Description
Fonction KYOK (Keep Your Own Key) Si vous choisissez d'exporter des clés symétriques depuis votre infrastructure interne de gestion des clés, vous pouvez utiliser Hyper Protect Crypto Services pour les apporter dans le cloud en toute sécurité. La fonction KYOK garantit que vous possédez la confiance racine de votre hiérarchie de clés et que personne d'autre que vous n'a accès à vos clés de chiffrement.
Importation sécurisée des informations de clé racine Lorsque vous exportez vos clés vers le cloud, vous voulez être sûr que les informations de clé sont protégées durant son transit. Atténuez les attaques de l'homme du milieu en utilisant un jeton d'importation pour importer en toute sécurité le matériel de clé racine dans votre instance de service Hyper Protect Crypto Services.

Planification de l'importation des informations de clé

Tenez compte des considérations suivantes lorsque vous êtes prêt à importer les informations de clé racine dans le service.

Examinez vos options de création de vos informations de clé
Explorez les options disponibles pour créer des clés de chiffrement symétrique de 256 bits en fonction de vos besoins de sécurité. Par exemple, vous pouvez utiliser votre système interne de gestion des clés basé sur un module de sécurité matériel sur site validé par le FIPS pour générer les informations de clé avant d'apporter vos clés dans le cloud. Si vous générez une preuve de concept, vous pouvez également utiliser un kit d'outils de cryptographie, tel que OpenSSL , pour générer du matériel de clés que vous pouvez importer dans Hyper Protect Crypto Services pour vos besoins de test.
Choisissez une option pour importer les informations de clé dans Hyper Protect Crypto Services
Choisissez l'une des deux options d'importation des clés racine en fonction du niveau de sécurité requis pour votre environnement ou votre charge de travail. Par défaut, Hyper Protect Crypto Services chiffre vos informations de clé pendant leur transit à l'aide du protocole Transport Layer Security (TLS) 1.2. Si vous construisez une preuve de concept ou testez le service pour la première fois, vous pouvez importer les informations de clé racine dans Hyper Protect Crypto Services en utilisant cette option par défaut. Si votre charge de travail nécessite un mécanisme de sécurité supérieur à TLS, vous pouvez également utiliser un jeton d'importation pour chiffrer et importer le matériel de clé racine dans le service.
Planifiez le chiffrement de vos informations de clé
Si vous choisissez de chiffrer vos informations de clé à l'aide d'un jeton d'importation, définissez une méthode pour exécuter le chiffrement RSA sur les informations de clé. Vous devez utiliser le schéma de chiffrement RSAES_OAEP_SHA_1 comme indiqué par la norme PKCS sécurisé v2.1 pour le chiffrement RSA. Examinez les capacités de votre système interne de gestion des clés ou de votre module HSM sur site pour définir vos options.
Planifiez le chiffrement de la valeur nonce
Si vous choisissez de chiffrer vos informations de clé à l'aide d'un jeton d'importation, vous devez également déterminer une méthode d'exécution du chiffrement AES-GCM sur la valeur nonce distribuée par Hyper Protect Crypto Services. La valeur nonce fait office de jeton de session qui vérifie l'originalité d'une demande de protection contre les attaques malveillantes et les appels non autorisés. Examinez les capacités de votre système interne de gestion des clés ou de votre module HSM sur site pour définir vos options.
Gérez le cycle de vie des informations de clé importées
Après avoir importé les informations de clé dans le service, gardez à l'esprit que vous êtes responsable de la gestion du cycle de vie complet de votre clé. A l'aide de l'API de service de gestion de clés Hyper Protect Crypto Services, vous pouvez définir une date d'expiration pour la clé lorsque vous décidez de le télécharger dans le service. Cependant, si vous souhaitez effectuer une rotation d'une clé racine importée, vous devez générer et fournir un nouveau matériel de clé pour retirer et remplacer la clé existante.

Utilisation de jetons d'importation

Si vous souhaitez chiffrer votre matériel avant de l'importer dans Hyper Protect Crypto Services, vous pouvez créer un jeton d'importation pour votre instance de service à l'aide de l'API de service de gestion de clés Hyper Protect Crypto Services.

Les jetons d'importation sont un type de ressources dans Hyper Protect Crypto Services qui permettent l'importation sécurisée d'informations de clé vers votre instance de service. En utilisant le contenu d'un jeton d'importation pour chiffrer vos informations de clé locales, vous protégez les clés racine durant leur transit vers Hyper Protect Crypto Services conformément aux politiques que vous spécifiez. Par exemple, vous pouvez définir une règle sur le jeton d'importation qui limite l'utilisation en fonction du temps et du nombre d'utilisations.

Fonctionnement

Lorsque vous créez un jeton d'importation pour votre instance de service, Hyper Protect Crypto Services génère une paire de clés RSA 4096 bits à partir des modules HSM. Lorsque vous extrayez le jeton d'importation, le service fournit la clé publique que vous pouvez utiliser pour chiffrer et télécharger une clé dans Hyper Protect Crypto Services.

La liste ci-après décrit le flux de travaux du jeton d'importation.

  1. Vous envoyez une demande pour créer un jeton d'importation.
    1. Hyper Protect Crypto Services génère une paire de clés RSA à partir des unités de chiffrement (modules HSM).
    2. La clé publique peut dès lors être extraite en fonction de la règle que vous avez spécifiée lors de la phase de création.
    3. La clé privée devient non extractible et ne quitte jamais l'unité de chiffrement.
  2. Vous envoyez une demande pour extraire le jeton d'importation.
    1. Vous recevez le contenu du jeton d'importation et notamment :
      • Une clé publique pour les informations de clé de chiffrement à importer dans le service.
      • Valeur nonce utilisée pour vérifier la demande d'importation de clé.
  3. Vous préparez la clé à importer dans le service.
    1. Vous générez les informations de clé à l'aide d'un mécanisme de gestion des clés sur site.
    2. Vous chiffrez la valeur nonce avec les informations de clé à l'aide d'une méthode de chiffrement AES-GCM compatible avec votre environnement.
    3. Vous chiffrez les informations de clé avec la clé publique à l'aide d'une méthode de chiffrement RSA compatible avec votre environnement.
  4. Vous envoyez une demande pour importer la clé.
    1. Vous fournissez les informations de clé chiffré, la valeur nonce chiffrée et le vecteur d'initialisation généré par l'algorithme AES-GCM.
    2. Hyper Protect Crypto Services vérifie votre demande, déchiffre le paquet chiffré et stocke les informations de clé en tant que clé racine dans votre instance de service.

Vous ne pouvez créer qu'un seul jeton d'importation par instance de service à la fois. Pour en savoir plus sur les limites d'extraction des jetons d'importation, voir la documentation de référence de l'API du service de gestion des clés Hyper Protect Crypto Services.

Méthodes d'API

Dans les coulisses, l'API de service de gestion de clés Hyper Protect Crypto Services conduit le processus de création de jeton d'importation.

Le tableau suivant répertorie les méthodes de l'API qui configurent un jeton d'importation pour votre instance de service.

Tableau 2. Décrit les méthodes d'API du service de gestion des clés
Méthode Description
POST api/v2/import_token Créer un jeton d'importation
GET api/v2/import_token Extraire un jeton d'importation

Etapes suivantes

  • Pour savoir comment créer un jeton d'importation pour votre instance de service, reportez-vous à la rubrique Création d'un jeton d'importation.
  • Pour en savoir plus sur l'importation des clés dans le service, voir Importation de clés racine.
  • Pour en savoir plus sur la gestion de vos clés à l'aide d'un programme dans Hyper Protect Crypto Services, consultez la documentation de référence de l'API du service de gestion des clés Hyper Protect Crypto Services.