Composants et concepts-Plan Standard
Avant de pouvoir utiliser IBM Cloud® Hyper Protect Crypto Services pour gérer des clés de chiffrement et protéger des données, découvrez les composants et concepts de base d'Hyper Protect Crypto Services.
Service de gestion des clés
Découvrez les concepts liés à la fonction de gestion de clés d'Hyper Protect Crypto Services pour gérer des clés de chiffrement. La liste commence par les concepts les plus fondamentaux.
Clés racine (root)
Les clés racine, aussi appelées clés racine client (CRK), sont des ressources primaires dans Hyper Protect Crypto Services. Il s'agit de clés d'encapsulage de clés symétriques utilisées en tant que racines de confiance pour l'encapsulage (chiffrement) et le désencapsulage (déchiffrement) d'autres clés de chiffrement de données (DEK) qui sont stockées dans le service de données. Dans Hyper Protect Crypto Services, vous pouvez créer, stocker et gérer le cycle de vie des clés racine. Les clés racine créées dans Hyper Protect Crypto Services sont des clés AES 256 bits symétriques. Contrairement à la clé standard, une clé racine doit toujours rester dans les limites du service Hyper Protect Crypto Services. Pour en savoir plus, voir Introduction au chiffrement d'enveloppe et Gérez vos clés.
Clés standard
Les clés standard sont d'autres ressources dans Hyper Protect Crypto Services qui permettent de chiffrer et déchiffrer directement des données. Pour gérer les clés standard, suivez les étapes décrites dans Gérez vos clés.
Clés de chiffrement de données
Les clés de chiffrement de données (DEK) sont des clés de chiffrement que vous utilisez pour le chiffrement de données. Elles sont fournies par des applications appartenant à des utilisateurs et utilisées pour chiffrer les données stockées dans des applications. Les clés racine que vous gérez dans Hyper Protect Crypto Services servent de clés d'encapsulage pour protéger les clés DEK. Pour en savoir plus, voir Introduction au chiffrement d'enveloppe.
Chiffrement d'enveloppe
Le chiffrement d'enveloppe est une procédure qui consiste à chiffrer des données à l'aide d'une clé DEK, puis à chiffrer la clé DEK avec une clé racine que vous pouvez intégralement gérer. Pour en savoir plus, voir Introduction au chiffrement d'enveloppe.
Module HSM (Hardware Security Module) en cloud
Cette section traite des concepts liés à Hyper Protect Crypto Services Cloud Hardware Security Module(HSM). La liste commence par les concepts les plus fondamentaux.
Module HSM (Hardware Security Module)
Un module HSM (Hardware Security Module) est une unité physique qui protège et gère les clés numériques pour une authentification forte et fournit un traitement de chiffrement. Les modules HSM d'IBM Cloud Hyper Protect Crypto Services sont certifiés FIPS 140-2 Level 4, qui est le niveau de sécurité maximal pour un matériel de chiffrement. A ce niveau de sécurité, ce sont des mécanismes physiques qui interviennent pour offrir une enveloppe de protection complète autour du module de chiffrement, l'objectif étant de détecter toutes les tentatives d'accès physique non autorisé et d'y répondre.
Unités de chiffrement
Une unité de chiffrement est une unité unique qui représente un module HSM et la pile de logiciels correspondante, dédiée au module HSM pour le chiffrement. Dans Hyper Protect Crypto Services, les types d'unité de chiffrement suivants sont disponibles :
-
Unité de chiffrement opérationnelle
Lorsque vous créez une instance Hyper Protect Crypto Services, le nombre d'unités de chiffrement que vous indiquez correspond au nombre d'unités de chiffrement opérationnelles. Pour une haute disponibilité et une reprise après incident, vous devez configurer au moins deux unités de chiffrement opérationnelles. Ces unités de chiffrement opérationnelles se trouvent dans différentes zones de disponibilité de la même région que celle où se trouve votre instance de service. Les unités de chiffrement opérationnelles sont utilisées pour gérer les clés de chiffrement et effectuer des opérations de chiffrement.
-
Unité de chiffrement de récupération
Si vous créez votre instance de service dans des régions autres que Madrid (
eu-es
), deux unités de chiffrement de reprise sont automatiquement affectées à votre instance de service sans frais supplémentaires ; une dans la même région et une dans la région de reprise après incident pour cette région. Une unité de chiffrement de récupération est utilisée pour générer la clé principale aléatoire, qui est ensuite exportée en toute sécurité vers les unités de chiffrement opérationnelles et l'autre unité de chiffrement de récupération pour initialiser l'instance de service.Les unités de chiffrement de récupération peuvent également être utilisées comme unités de chiffrement de secours qui enregistrent une copie de la valeur de la clé principale utilisée par les unités de chiffrement opérationnelles. Si la clé principale est perdue ou détruite, vous pouvez récupérer la clé principale à partir d'une unité de chiffrement de récupération à l'aide de commandes d'administration TKE signées.
Si des cartes à puce sont utilisées pour charger la clé principale, les unités de chiffrement de récupération ne sont pas applicables et peuvent être ignorées. La sauvegarde de la clé principale repose sur la sauvegarde des cartes à puce dans ce cas.
-
Unité de chiffrement de reprise en ligne
Les unités de chiffrement de reprise en ligne sauvegardez les unités de chiffrement et les magasins de clés opérationnels dans une autre région et sont initialisées pour assurer une reprise en ligne rapide en cas de sinistre. Les unités de chiffrement de reprise en ligne facturent des frais supplémentaires, et cette option est désormais disponible uniquement dans les régions
us-south
etus-east
, ce qui signifie que si vous créez votre instance dans l'une des deux régions, les unités de chiffrement de reprise en ligne sont situées dans l'autre région. Pour plus d'informations sur l'utilisation des unités de chiffrement de reprise en ligne dans un sinistre régional, voir Restoring your data by using failover crypto units.
Administrateurs
Les administrateurs peuvent être ajoutés aux unités de chiffrement cible pour émettre des commandes dans les unités de chiffrement. Vous pouvez ajouter jusqu'à huit administrateurs à une unité de chiffrement pour augmenter la sécurité. Chaque administrateur possède sa propre clé de signature privée pour l'authentification d'identité.
Clés de signature
Un administrateur doit signer les commandes émises dans l'unité de chiffrement, en y apposant une clé de signature. Les clés de signature créées dans Hyper Protect Crypto Services sont des clés P521 Elliptic Curve (EC). La partie privée de la clé de signature est utilisée pour créer des signatures. La partie publique est placée dans un certificat qui est installé dans une unité de chiffrement cible pour définir un administrateur d'unité de chiffrement. Les commandes émises en mode imprint n'ont pas besoin d'être signées avec des clés de signature.
Mode imprint
Les unités de chiffrement qui sont affectées à un utilisateur IBM Cloud démarrent à l'état débloqué appelé mode imprint.La plupart des opérations d'unité de chiffrement sont désactivées en mode imprint, et une unité de chiffrement en mode imprint n'est pas sécurisée. Vous pouvez ajouter des administrateurs en mode imprint et quitter le mode imprint en utilisant une commande signée.Une fois que l'unité de chiffrement quitte le mode imprint, toutes les commandes exécutées pour configurer une unité de chiffrement doivent être signées.Vous devez quitter le mode imprint avant de pouvoir charger les clés principales.
Authentification par quorum
L'authentification par quorum permet d'approuver une opération par un nombre défini d'administrateurs d'unité de chiffrement. Certaines opérations sensibles, telles que la validation d'un registre de clé principale, la modification des seuils de signature et l'ajout ou la suppression d'administrateurs après la sortie de l'unité de chiffrement en mode imprint, nécessitent un nombre suffisant d'administrateurs d'unité de chiffrement pour entrer leurs données d'identification. L'authentification par quorum garantit qu'aucune personne ne peut effectuer un changement critique sur l'unité de chiffrement. En revanche, un nombre minimal d'administrateurs d'unité de chiffrement (au moins deux) doivent coopérer pour effectuer ces opérations. Dans le cadre de l'authentification par quorum, plusieurs administrateurs d'unité de chiffrement sont nécessaires pour approuver une opération, ajoutant ainsi une couche supplémentaire de protection sur l'unité de chiffrement.
Seuils de signature
Les seuils de signature d'une unité de chiffrement contrôlent le nombre de signatures administratives nécessaires pour exécuter une commande. En mode imprint, la valeur zéro est définie pour les seuils de signature. Pour quitter le mode imprint, affectez une valeur supérieure à zéro aux seuils de signature. Lorsqu'une unité de chiffrement est mise à zéro, les valeurs de seuil de signature sont réinitialisées à zéro.
Il existe deux types de seuil de signature sur une unité de chiffrement. Le seuil de signature principal contrôle le nombre de signatures requises pour exécuter la plupart des commandes d'administration. Le seuil de signature de révocation contrôle le nombre de signatures requises pour retirer un administrateur.Certaines commandes nécessitent une seule signature, quelle que soit la manière dont le seuil de signature est défini.
Affecter aux seuils de signature une valeur supérieure à un permet d'activer l'authentification par quorum de plusieurs administrateurs pour des opérations sensibles. La valeur maximale que vous pouvez définir pour le seuil de signature et le seuil de signature de révocation est huit, ce qui correspond au nombre maximal d'administrateurs pouvant être ajoutés à une unité de chiffrement.
Clé principale
La clé principale, également appelée clé maître HSM, est utilisée pour chiffrer l'instance de service pour le stockage des clés. Il s'agit d'une clé AES 256 bits symétrique. Grâce à la clé principale, vous devenez propriétaire du module HSM en cloud et vous détenez la racine de confiance qui chiffre la hiérarchie complète des clés de chiffrement, y compris les clés racine et les clés standard contenues dans le magasin de clés de gestion des clés et les clés Enterprise PKCS #11 (EP11) contenues dans le magasin de clés EP11. Vous devez configurer la clé principale avant de pouvoir gérer les clés de chiffrement. Une instance de service ne peut avoir qu'une seule clé principale. Si vous supprimez la clé principale de l'instance de service, vous pouvez efficacement détruire par crypto-broyage toutes les données qui ont été chiffrées avec les clés gérées dans le service.
Partie de clé principale
Si vous initialisez votre instance de service à l'aide de fichiers de pièces clés ou en utilisant des cartes à puce avec les utilitaires de gestion, une clé principale est composée de deux ou trois parties de clé principale.Les parties qui sont créés dans Hyper Protect Crypto Services sont des clés AES 256 bits symétriques. Pour des raisons de sécurité, une personne différente peut posséder chaque partie de clé.Les composants de clé sont stockés dans les fichiers de composants de clé de poste de travail lorsque le plug-in de l'interface de ligne de commande TKEIBM Cloud est utilisé pour charger la clé principale.Les composants de clé sont stockés sur des cartes à puce lorsque les utilitaires de gestion Hyper Protect Crypto Services sont utilisés pour charger la clé principale.Le propriétaire d'une partie de clé doit être la seule personne à connaître le mot de passe de fichier ou le code confidentiel de carte à puce de la partie de clé.
Plug-in d'interface de ligne de commande TKE (Trusted Key Entry) d'IBM Cloud
Le plug-in d'interface de ligne de commande TKE (Trusted Key Entry) est un plug-in d'interface de ligne de commande qui fonctionne avec l'interface de ligne de commande IBM Cloud. Le plug-in TKE fournit un ensemble de fonctions permettant de gérer les unités de chiffrement affectées à un compte utilisateur IBM Cloud. Vous pouvez utiliser le plug-in TKE pour configurer des administrateurs et charger la clé principale avec les exigences d'un niveau de sécurité moyen. Le plug-in de l'interface de ligne de commande TKE propose deux approches pour initialiser les instances de service : l'initialisation des instances de service à l'aide de fichiers de composants de clé et l'initialisation des instances de service à l'aide d'unités de chiffrement de récupération. Pour obtenir toutes les informations de référence de commande, voir Référence du plug-in d'interface de ligne de commande TKE (Trusted Key Entry).
Management Utilities
Management Utilities offre un autre moyen de configurer des instances de service avec des clés de signature et des parties de clé principale qui sont stockées sur des cartes à puce avec le niveau de sécurité le plus élevé.Pour utiliser les utilitaires de gestion, vous devez commander des lecteurs de cartes à puce pris en charge par IBM et des cartes à puce.Pour obtenir des instructions détaillées sur l'installation et la configuration des utilitaires de gestion, voir Setting up smart cards and the Management Utilities et Setting up smart cards and the Management Utilities.
Cartes à puce
Une carte à puce ressemble à une carte de crédit avec une puce intégrée.La puce peut effectuer un ensemble limité d'opérations de chiffrement et est chargée avec un logiciel personnalisé.Dans les utilitaires de gestion, le programme d'utilitaire de carte à puce charge le logiciel personnalisé sur la carte à puce pour créer deux types de cartes à puce :
- Cartes à puce d'autorité de certification : Etablissent un ensemble de cartes à puce pouvant fonctionner ensemble, appelé zone de cartes à puce.
- Cartes à puce Enterprise PKCS #11 (EP11) : Contiennent une clé de signature d'administrateur et jusqu'à 85 parties de clé principale. Avec les cartes à puce EP11, vous pouvez signer une commande à l'aide d'une clé de signature privée qui est stockée sur la carte à puce et chiffrer une partie de clé principale afin de la livrer à une unité de chiffrement.
Les cartes à puce sont protégées par un code confidentiel et celui-ci doit être saisi sur leur clavier pour leur permettre d'exécuter les opérations. La carte à puce EP11 ne comprend qu'un seul code confidentiel.La carte à puce d'autorité de certification comprend deux codes confidentiels qui doivent être saisis tous les deux pour permettre l'exécution d'opérations.
Si un code confidentiel incorrect est saisi 3 fois de suite sur une carte à puce EP11, celle-ci se bloque et ne peut pas être utilisée pour les opérations nécessitant la saisie du code confidentiel.Une carte à puce EP11 peut être débloquée à l'aide de Smart Card Utility Program.Vous avez besoin de la carte à puce d'autorité de certification utilisée pour initialiser la carte à puce EP11 afin de débloquer la carte à puce EP11.Pour débloquer une carte à puce EP11, sélectionnez EP11 Smart Card > Unblock EP11 smart card dans le menu, puis suivez les invites.
Une carte à puce d'autorité de certification se bloque si un code confidentiel incorrect est saisi cinq fois.Si une carte à puce d'autorité de certification se bloque, elle ne peut pas être débloquée.
Lecteurs de carte à puce
Un lecteur de carte à puce est une unité qui est connectée à un poste de travail et permet à ce dernier de communiquer avec une carte à puce.Pour accéder à une carte à puce, vous devez l'insérer dans le lecteur de carte à puce. Le code confidentiel de la carte à puce doit être saisi sur le clavier de cette dernière pour permettre la plupart des opérations de carte à puce.
Un pilote du lecteur de carte à puce doit être installé sur le poste de travail pour que le lecteur de carte à puce puisse être utilisé.Pour plus d'informations, voir Installation du pilote de lecteur de carte à puce.
Programme utilitaire de carte à puce
Smart Card Utility Program est l'une des deux applications installées dans le cadre des utilitaires de gestion.Ce programme configure et gère les cartes à puce qui sont utilisées par l'application TKE (Trusted Key Entry).
Application TKE (Trusted Key Entry)
L'application TKE (Trusted Key Entry) est l'une des deux applications installées dans le cadre des utilitaires de gestion.Elle utilise des cartes à puce pour charger des clés principales dans des instances de service et pour effectuer d'autres tâches de configuration pour des instances de service.
KYOK (Keep Your Own Key)
Hyper Protect Crypto Services prend en charge la fonction KYOK (Keep Your Own Key). Vous pouvez configurer la clé principale pour prendre le contrôle complet du module HSM en cloud, et ainsi, avoir plus de contrôle et de droits sur les clés de chiffrement que vous pouvez utiliser, contrôler et gérer. Personne d'autre que vous n'a accès à vos clés de chiffrement.
PKCS #11
L'API PKCS (Public-Key Cryptography Standards) #11 définit une API indépendante de la plateforme pour les jetons de chiffrement, par exemple, les modules HSM et les cartes à puce. Les applications existantes qui utilisent PKCS #11 peuvent bénéficier d'une sécurité renforcée en utilisant la cryptographie par clé de sécurité et une interface sans état, qui rend les opération de chiffrement plus efficaces. Pour plus d'informations, voir API PKCS #11.
Cryptoki
Interface de jeton de chiffrement définie dans l'API PKCS #11 standard. Cryptoki suit une approche simple basée sur l'objet, répondant aux objectifs d'indépendance technologique et de partage de ressources.
Bibliothèque PKCS #11
Bibliothèque PKCS #11 qui implémente les fonctions d'API Cryptoki spécifiées dans l'API PKCS #11 standard. Avec la bibliothèque PKCS #11, vos applications peuvent utiliser l'API PKCS #11 pour accéder au module HSM en cloud Hyper Protect Crypto Services pour effectuer des opérations de chiffrement. Pour savoir comment configurer la bibliothèque, voir Exécution d'opérations de chiffrement à l'aide de l'API PKCS #11.
Jeton Cryptoki
Vue logique d'une unité de chiffrement qui est définie par Cryptoki. Pour plus d'informations, voir PKCS #11 Cryptographic Token Interface Usage Guide Version 2.40-Vue logique d'un jeton.
Session Cryptoki
Connexion logique entre une application et un jeton. Cryptoki exige qu'une application ouvre une ou plusieurs sessions avec un jeton pour permettre l'accès aux objets et aux fonctions du jeton. Une session peut être accessible en lecture/écriture ou en lecture seule.Pour plus d'informations, voir Présentation de PKCS #11 - Session.
Objet Cryptoki
Elément stocké sur un jeton. Un objet peut être des données, un certificat ou une clé. Un objet de données est défini par une application.Un objet de certificat stocke un certificat.Un objet de clé stocke une clé de chiffrement.Chaque caractéristique de l'objet est définie dans un attribut. Pour plus d'informations, voir Présentation de PKCS #11 - Objet de clé.
Mécanisme
Processus d'implémentation d'une opération de chiffrement.
Enterprise PKCS #11
Enterprise PKCS #11 (EP11) est conçu pour les clients qui recherchent une prise en charge des normes ouvertes et une sécurité renforcée. La bibliothèque EP11 fournit une interface sans état, similaire à l'API PKCS #11 normalisée. Le module HSM sur lequel s'exécutent les unités prend en charge une bibliothèque EP11, de sorte que les utilisateurs peuvent appeler l'API EP11 via gRPC pour leurs propres gestion des clés et chiffrement de données. Pour plus d'informations, voir Enterprise PKCS #11(EP11)Library structure document.
gRPC
gRPC est une infrastructure RPC (Remote Procedure Call) moderne, open source et très performante qui peut connecter des services dans des centres de données et entre ces derniers, pour effectuer des opérations d'équilibrage de charge, de traçage, de diagnostic d'intégrité et d'authentification. Les applications accèdent à la bibliothèque Hyper Protect Crypto Services EP11 en appelant l'API EP11 à distance via gRPC. Pour plus d'informations sur gRPC, voir la documentation gRPC.
Enterprise PKCS #11 sur gRPC
IBM Cloud® Hyper Protect Crypto Services fournit un ensemble d'appels d'API Enterprise PKCS #11 (EP11) sur gRPC (également appelé GREP11), avec lesquels toutes les fonctions Crypto sont exécutées dans un module HSM en cloud. EP11 sur gRPC est une interface sans état pour les opérations cryptographiques sur le cloud. Pour plus d'informations sur l'API GREP11, voir la rubrique Présentation de EP11 sur gRPC et la documentation de référence de l'API GREP11.