Initialisation des instances de service avec des cartes à puce et les utilitaires de gestion

Pour pouvoir utiliser votre instance Hyper Protect Crypto Services, vous devez commencer par initialiser votre instance de service en chargeant la clé principale. Initialisez votre instance de service à l'aide de cartes à puce et en suivant le processus indiqué dans les utilitaires de gestion Hyper Protect Crypto Services.

Pour une présentation des approches d'initialisation d'instances de service et des concepts de base connexes, voir Initialisation des instances de service et Présentation des approches d'initialisation d'instances de service.

Les utilitaires de gestion Hyper Protect Crypto Services utilisent des cartes à puce pour contenir des clés de signatureAn encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. et des parties de clé principale.Vous devez effectuer les tâches indiquées à la rubrique Setting up smart cards and the Management Utilitiespour pouvoir effectuer les étapes de cette tâche.

Vous pouvez également regarder la vidéo suivante pour apprendre à initialiser des instances Hyper Protect Crypto Services à l'aide de cartes à puce et des utilitaires de gestion :

Il est de votre responsabilité de sécuriser les actifs utilisés pour initialiser l'instance Hyper Protect Crypto Services. Pour connaître les meilleures pratiques, voir la foire aux questions.

Avant de commencer

Assurez-vous d'avoir configuré les utilitaires de gestion.
Effectuez les étapes prérequises avant d'initialiser votre instance de service.
Branchez les deux lecteurs de carte à puce dans les ports USB de votre poste de travail.
Démarrez l'application TKE (Trusted Key Entry) en accédant au sous-répertoire dans lequel vous avez installé les applications Management Utilities et en exécutant la commande suivante :
```
./tke
```

Chargement de la clé principale à partir des cartes à puce

Les unités de chiffrement affectées à un utilisateur IBM Cloud démarrent dans un état effacé appelé mode imprintAn operational mode in which crypto units are assigned to a user.. Pour charger la clé principale à partir des cartes à puce, procédez comme suit avec l'application TKE (Trusted Key Entry) :

Etape 1 : Génération des clés de signature et des parties de clé principale

Si vous avez créé des clés de signature et des parties de clé principale avec le plug-in d'interface de ligne de commande TKE sur votre poste de travail, vous pouvez les copier sur des cartes à puce au lieu de générer de nouvelles clés. Pour ce faire, dans l'onglet Smart card, cliquez sur Copy signature key file ou sur Copy key part file et suivez les instructions. Au cours du processus, vous devez fournir le mot de passe pour le fichier de clés.

Pour générer une clé de signature pour un administrateur, sélectionnez l'onglet Smart card, puis cliquez sur Generate signature key.

Lorsque vous y êtes invité, insérez un Carte à puce EP11 dans le lecteur de carte à puce 2. Entrez un nom pour l'administrateur et entrez le numéro d'identification personnel (NIP) de la carte à puce sur le clavier du lecteur de cartes à puce.

Une clé de signature d'administrateur est générée et stockée sur la carte à puce. Chaque carte à puce ne peut contenir qu'une seule clé de signature. Si vous souhaitez configurer plusieurs administrateurs, répétez cette étape en utilisant différentes cartes à puce EP11.
Pour générer les parties de clé principale pour l'initialisation de l'instance de service, sur l'onglet Smart card, cliquez sur Generate key part.

Lorsque vous y êtes invité, insérez une carte à puce EP11 dans le lecteur de carte à puce 2 et tapez le code confidentiel de la carte à puce.Entrez une description pour la partie de clé.

Une partie de clé principale aléatoire est générée et stockée sur la carte à puce.

Pour créer d'autres parties de clé principale, répétez cette étape.

Vous devez générer au moins deux parties de clé principale pour charger une clé principale.Pour plus de sécurité, vous pouvez générer un maximum de trois parties de clé principale. Pour améliorer la sécurité, vous pouvez choisir de générer des clés de signature et des parties de clé principale sur des cartes à puce distinctes et d'affecter chaque carte à puce à une personne différente. Pour plus d'informations, voir Smart card setup recommendations.
(Facultatif) Si vous souhaitez créer une copie de sauvegarde d'une carte à puce EP11, cliquez sur Copy smart card dans l'onglet Smart card et suivez les invites.

Etape 2 : Sélection des unités de chiffrement sur lesquelles la clé principale doit être chargée

Sélectionnez l'onglet Unités de chiffrement. La liste des unités de chiffrementA single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. du groupe de ressources cible sous le compte utilisateur en cours s'affiche.La colonne SELECTED contient les unités de chiffrement que vous allez utiliser pour les commandes ultérieures.

Pour plus d'informations sur l'extraction de votre ID d'instance de service, voir Extraction de l'ID d'instance.

Pour sélectionner d'autres unités de chiffrement à utiliser, cliquez sur Add crypto units et entrez le numéro d'unité de chiffrement des autres unités de chiffrement que vous souhaitez utiliser. Vous pouvez entrer plusieurs numéros d'unités de chiffrement, séparés par un espace.
Pour retirer des unités de chiffrement du groupe que vous allez utiliser, cliquez sur Remove crypto units et entrez le numéro d'unité de chiffrement des unités de chiffrement que vous souhaitez retirer.Vous pouvez entrer plusieurs numéros d'unités de chiffrement, séparés par un espace.

Lorsque les opérations sont terminées, la valeur true s'affiche dans la colonne SELECTED pour chaque unité de chiffrement qui sera concernée par les commandes ultérieures. Si plusieurs unités de chiffrement sont affectées à une instance de service, toutes les unités de chiffrement de l'instance de service doivent être configurées de la même manière.

Si vous activez la haute disponibilité interrégionale avec des unités de chiffrement de reprise en ligne, veillez à ajouter toutes les unités d e chiffrement de reprise en ligne à la liste sélectionnée pour l'initialisation de l'instance.

Si vous n'initialisez et ne configurez pas les unités de chiffrement de reprise en ligne de la même manière que les unités de chiffrement opérationnelles, vous ne pouvez pas utiliser les unités de chiffrement de reprise en ligne pour la restauration automatique des données lorsqu'un sinistre régional se produit. Pour plus d'informations sur la reprise après incident interrégionale, voir Haute disponibilité et reprise après incident.

Etape 3 : Ajout d'administrateurs aux unités de chiffrement sélectionnées

La commande permettant de charger une clé principale doit être signée par un administrateur qui est prédéfini dans l'unité de chiffrement.Cette étape prédéfinit un administrateur.

Sélectionnez l'onglet Administrateurs.Cet onglet affiche la liste des administrateurs qui sont autorisés à signer les commandes de l'unité de cryptage.
Cliquez sur Ajouter un administrateur.
Lorsque vous y êtes invité, insérez la carte à puce EP11 qui contient cette clé de signature d'administrateur dans le lecteur de carte à puce 1, puis tapez le code confidentiel sur le clavier de ce lecteur.

La clé de signature publique et le nom de l'administrateur sont lus sur la carte à puce et installés dans l'unité de cryptage.Lorsque l'opération est terminée, le nom de l'administrateur est affiché dans le champ ADMIN NAME des unités cryptographiques sélectionnées.

Pour des raisons de sécurité et de conformité, le nom d'administrateur de l'unité de chiffrement peut apparaître dans les journaux à des fins d'audit.

Répétez cette étape si vous souhaitez ajouter plusieurs administrateurs. Le nombre d'administrateurs ajoutés doit être supérieur ou égal à la plus grande des valeurs suivantes :

Valeur du seuil de signature. Le seuil de signature contrôle le nombre de signatures requises pour exécuter la plupart des commandes d'administration.
Valeur de seuil de signature de révocation que vous avez l'intention de définir à l'étape 4. Le seuil de signature de révocation contrôle le nombre de signatures requises pour retirer un administrateur.

Ne supprimez pas les clés de signature de l'administrateur de vos cartes à puce. Sinon, vous ne pourrez pas effectuer les actions TKE qui doivent être signées, telles que la remise à zéro des unités de chiffrement et la rotation des clés principales.

Si vous souhaitez supprimer l'administrateur dans une phase ultérieure, cliquez sur Supprimer l'administrateur.

Etape 4 : Définition des seuils de signature pour quitter le mode imprint dans les unités de chiffrement sélectionnées

Lorsque les unités cryptographiques dans les instances de service sont attribuées à un utilisateur, elles commencent dans un état effacé appelé mode d'impression.En mode impression, la plupart des opérations sur l'unité cryptographique sont désactivées.Pour charger la clé maîtresse dans une unité cryptographique, il faut d'abord sortir du mode impression en réglant les seuils de signature sur une valeur supérieure à zéro.

Pour définir les seuils de signature, sélectionnez l'onglet Signature thresholds, puis cliquez sur Change signature thresholds.
Lorsque vous y êtes invité, entrez la nouvelle valeur de seuil de signature et la nouvelle valeur de seuil de signature de révocation. Ces valeurs doivent être des chiffres compris entre un et huit et ne doivent pas nécessairement être identiques.Le seuil de signature contrôle le nombre de signatures requises pour exécuter la plupart des commandes d'administration.Le seuil de signature de révocation contrôle le nombre de signatures nécessaires pour révoquer un administrateur après avoir quitté le mode d'impression. Certaines commandes nécessitent une seule signature, quelle que soit la manière dont le seuil de signature est défini.
Si vous y êtes invité, insérez une carte à puce EP11 avec une clé de signature d'administrateur définie pour les unités cryptographiques sélectionnées dans le lecteur de carte à puce 1. Ensuite, entrez le code PIN de la carte à puce sur le clavier du lecteur de cartes à puce.Répétez cette opération si vous êtes invité à entrer des cartes à uce EP11 supplémentaires avec des clés de signature. Lorsque l'unité de chiffrement quitte le mode imprint, le nombre de signatures requises pour cette commande correspond à la nouvelle valeur de seuil de signature.

Une fois les valeurs de seuil de signature définies, les nouvelles valeurs s'affichent sur la page Signature thresholds.Affecter aux seuils de signature une valeur supérieure à un permet d'activer l'authentification par quorum de plusieurs administrateurs pour des opérations sensibles.

Lorsqu'une carte à puce EP11 avec une clé de signature administrateur valide est insérée dans le lecteur de carte à puce 1 et que le code PIN est saisi, la carte à puce peut être utilisée pour signer plusieurs commandes.À l'étape 5, si le lecteur contient une carte à puce EP11 avec une clé de signature valide et que le code PIN est saisi, vous n'êtes pas invité à insérer une carte à puce EP11 avec une clé de signature dans le lecteur de carte à puce 1.

Etape 5 : Chargement de la clé principale

Pour plus d'informations sur la transition d'état du registre de clé principale, voir Description du chargement de la clé principale.

Chargement du nouveau registre de clé principale

Sélectionnez l'onglet Master keys et cliquez sur Load.
Si vous y êtes invité, insérez une carte à puce EP11 avec une clé de signature d'administrateur définie pour les unités cryptographiques sélectionnées dans le lecteur de carte à puce 1. Ensuite, entrez le code PIN de la carte à puce sur le clavier du lecteur de cartes à puce.
Lorsque vous y êtes invité, entrez le nombre de parties de clé principale à charger. Seules 2 ou 3 parties de clé principale sont acceptées.
Lorsque vous y êtes invité, insérez la carte à puce EP11 contenant la première partie de clé principale dans le lecteur de carte à puce 2, puis tapez le code confidentiel sur le clavier de ce lecteur.
Sélectionnez la partie de clé principale à charger dans la liste de parties de clé principale sur le lecteur de carte à puce.
Répétez les sous-étapes 4 et 5 pour chaque partie de clé principale à charger.
Lorsque vous y êtes invité, dans le lecteur de carte à puce 1, insérez la carte à puce EP11 contenant une clé de signature d'administrateur qui est définie pour les unités de chiffrement sélectionnées, puis tapez le code confidentiel sur le clavier de ce lecteur.

Une fois toutes les parties de clé principale chargées, le nouveau registre de clé principale passe à l'état Full uncommitted.

Validation du nouveau registre de clé principale

Veillez à effectuer cette étape immédiatement après l'étape précédente pour faire passer le nouveau registre de clé principale à l'état Full committed. Sinon, vous ne pourrez pas initialiser votre instance de service ou effectuer des opérations cryptographiques avec l'API GREP11 ou l'API PKCS #11 .

Cliquez sur Commit pour faire passer la clé principale à l'état Full committed.
Lorsque vous y êtes invité, dans le lecteur de carte à puce 1, insérez une carte à puce EP11 contenant une clé de signature d'administrateur qui est définie pour les unités de chiffrement sélectionnées, puis tapez le code confidentiel sur le clavier de ce lecteur.Répétez cette opération si vous êtes invité à entrer des cartes à uce EP11 supplémentaires avec des clés de signature.

Une fois le processus terminé, le nouveau registre de clé principale passe à l'état Full committed.

Activation de la clé principale

Effectuez cette étape uniquement lorsque vous configurez une instance de service pour la première fois et que le stockage des clés est vide.Cette commande modifie la valeur dans le registre de clés principales en cours.Si cette commande est exécutée lorsque le stockage des clés contient des clés, et que ces clés sont cryptées en utilisant une valeur de clé principale différente de celle qui est placée dans le registre de clé principale actuel par cette commande, les clés du stockage des clés deviennent inutilisables.

Cliquez sur Set immediate pour déplacer la valeur du nouveau registre de clé principale vers le registre en cours et effacer le nouveau registre de clé principale.
Cliquez sur Yes si vous êtes prêt à copier la clé principale dans le registre de clé principale en cours. Cette action ne peut pas être annulée.
Si vous y êtes invité, insérez une carte à puce EP11 avec une clé de signature d'administrateur définie pour les unités cryptographiques sélectionnées dans le lecteur de carte à puce 1. Ensuite, entrez le code PIN de la carte à puce sur le clavier du lecteur de cartes à puce.

Les unités de chiffrement contenues dans le registre de clé principale en cours sont désormais à l'état Valid, ce qui indique que votre clé principale est chargée dans votre instance de service.

Si vous voulez effacer votre clé maîtresse actuelle dans une phase ultérieure, cliquez sur Effacer en cours.

Etapes suivantes

Accédez à l'onglet Clés KMS du tableau de bord de votre instance pour gérer les clés racine et les clés standard. Pour en savoir plus sur la gestion de vos clés à l'aide d'un programme, consultez la rubrique Hyper Protect Crypto Services documentation de référence de l'API du service de gestion des clés.
Pour en savoir plus sur l'exécution d'opérations de chiffrement avec le module HSM en cloud, voir Présentation du module HSM en cloud.
Utilisez Hyper Protect Crypto Services en tant que fournisseur de clés racine pour d'autres services IBM Cloud. Pour plus d'informations sur l'intégration d'Hyper Protect Crypto Services, voir Intégration de services.
Lisez Procédures TKE de cloud Hyper Protect Crypto Services pour un modèle avec des procédures d'initialisation et de gestion sécurisées d' IBM Cloud® Hyper Protect Crypto Services Enterprise PKCS#11 Hardware Security Modules à l'aide de Cloud Trusted Key Entry (TKE) et de cartes à puce.