IBM Cloud Docs
Abilitazione dei meccanismi di cripto

Abilitazione dei meccanismi di cripto

Dopo alcune funzioni e meccanismi crittografici sono abilitati in IBM Cloud® Hyper Protect Crypto Services, tu, come amministratore di unità crittografata, potrebbe essere necessario abilitarli manualmente nella tua istanza Hyper Protect Crypto Services prima di poter iniziare ad utilizzare queste funzioni e meccanismi.

Il firmware HSM viene aggiornato nella supportate IBM Cloud regioni per abilitare le seguenti funzioni. Se la tua istanza di servizio viene fornita dopo che gli aggiornamenti firmware HSM sono distribuiti nella regione corrispondente, questa funzione è abilitata per impostazione predefinita. Tuttavia, per qualsiasi istanza di servizio esistente, dove la chiave principale viene impostata prima del rollout dell'aggiornamento firmware HSM, è necessario abilitare le funzioni manualmente in base alle necessità.

Abilitazione dei portafogli deterministici BIP32

Una Bitcoin Improvement Proposta (BIP) descrive una funzione per il bitcoin, e i processi o l'ambiente. Lo standard BIP 0032 (BIP32) viene utilizzato per i wallets deterministici gerarchici per definire come ricavare chiavi private e pubbliche di un wallet.

Per abilitare BIP32, seguire queste istruzioni:

Passo 1: Verifica dell'abilitazione BIP32

Per verificare se la funzione BIP32 è già abilitata nella tua istanza di servizio, effettuare le seguenti operazioni:

Prima di eseguire i passi, assicurarsi di avere provisioned un'istanza di servizio e inizializzare l'istanza di servizio con il plug-in CLI(Trusted Key Entry)(CLI)plug-in o gli Utilities di gestione.

  1. Nella CLI, aggiornare il plug-in TKE CLI all'ultima versione con il seguente comando:

    ibmcloud plugin update tke
    
  2. Per verificare se la funzione BIP32 è abilitata, eseguire il seguente comando:

    ibmcloud tke cryptounit-compare
    

    La seguente emissione è un esempio di ciò che deve essere visualizzato. Se la funzione BIP32 è abilitata, la colonna XCP_CPB_BTC viene specificata come Set nella sezione CONTROL POINTS :

    CONTROL POINTS
    SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31
    CRYPTO UNIT NUM   XCP_CPB_BTC
    1                 Set
    2                 Set
    

    Se viene visualizzato Not Set, effettuare le seguenti operazioni per abilitare manualmente la funzione BIP32.

Passo 2: Abilitare manualmente BIP32

Per abilitare BIP32 per la tua istanza di servizio, seguire questi passaggi:

  1. Controllare e assicurarsi che tutte le unità di crittografia nella propria istanza di servizio siano selezionate con il seguente comando:

    ibmcloud tke cryptounits
    

    La seguente emissione è un esempio di ciò che deve essere visualizzato. Tutte le unità di crittografia selezionate sono contrassegnate true nella colonna SELECTED :

    SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba
    CRYPTO UNIT NUM   SELECTED   LOCATION
    1                 true       [us-south].[AZ3-CS3].[02].[03]
    2                 true       [us-south].[AZ2-CS2].[02].[03]
    
  2. Se le unità di crittografia non vengono selezionate, eseguire il seguente comando e seguire le richieste per aggiungere le unità di crittografia all'elenco selezionato:

    ibmcloud tke cryptounit-add
    
  3. Per abilitare la funzione BIP32, eseguire il seguente comando:

    ibmcloud tke cryptounit-cp-btc
    
  4. (Optional) Per confermare che la funzione BIP32 è abilitata, eseguire nuovamente il comando ibmcloud tke cryptounit-compare e assicurarsi che XCP_CPB_BTC sia contrassegnato come Set per tutte le unità di crittografia nell'output.

Abilitazione dell'algoritmo di firma digitale in curva Edwards

L'algoritmo di firma digitale Edwards (EdDSA) è un algoritmo di firma digitale moderno e sicuro basato su curve ellittiche ottimizzate per le prestazioni.

Per abilitare EdDSA, attenersi alla seguente procedura:

Passo 1: verifica dell'abilitazione EdDSA

Per controllare se la funzionalità EdDSA è già abilitata nella propria istanza del servizio, effettuare le seguenti operazioni:

Prima di eseguire i passi, assicurarsi di avere provisioned un'istanza di servizio e inizializzare l'istanza di servizio con il plug-in CLI(Trusted Key Entry)(CLI)plug-in o gli Utilities di gestione.

  1. Nella CLI, aggiornare il plug-in TKE CLI all'ultima versione con il seguente comando:

    ibmcloud plugin update tke
    
  2. Per verificare se la funzione EdDSA è abilitata, eseguire il seguente comando:

    ibmcloud tke cryptounit-compare
    

    La seguente emissione è un esempio di ciò che deve essere visualizzato. Se la funzione EdDSA è abilitata, la colonna XCP_CPB_ALG_EC_25519 viene specificata come Set nella sezione CONTROL POINTS :

    CONTROL POINTS
    SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31
    CRYPTO UNIT NUM   XCP_CPB_ALG_EC_25519
    1                 Set
    2                 Set
    
    

    Se viene visualizzato Not Set, attenersi alla seguente procedura per abilitare manualmente la funzione EdDSA.

Passo 2: abilita manualmente EdDSA

Per abilitare EdDSA per la propria istanza del servizio, attenersi alla seguente procedura:

  1. Controllare e assicurarsi che tutte le unità di crittografia nella propria istanza di servizio siano selezionate con il seguente comando:

    ibmcloud tke cryptounits
    

    La seguente emissione è un esempio di ciò che deve essere visualizzato. Tutte le unità di crittografia selezionate sono contrassegnate true nella colonna SELECTED :

    SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba
    CRYPTO UNIT NUM   SELECTED   LOCATION
    1                 true       [us-south].[AZ3-CS3].[02].[03]
    2                 true       [us-south].[AZ2-CS2].[02].[03]
    
  2. Se le unità di crittografia non vengono selezionate, eseguire il seguente comando e seguire le richieste per aggiungere le unità di crittografia all'elenco selezionato:

    ibmcloud tke cryptounit-add
    
  3. Per abilitare la funzione EdDSA, eseguire il seguente comando:

    ibmcloud tke cryptounit-cp-eddsa
    
  4. (Facoltativo) Per confermare che la funzione EdDSA è abilitata, eseguire nuovamente il comando ibmcloud tke cryptounit-compare e assicurarsi che XCP_CPB_ALG_EC_25519 sia contrassegnato come Set per tutte le unità di crittografia nell'output.

Abilitazione dell'algoritmo Schnorr

L'algoritmo Schnorr può essere utilizzato come schema di firma per generare firme digitali. Si propone come algoritmo alternativo all'Elliptic Curve Digital Signature Algoritmo (ECDSA) per le firme crittografiche nel sistema Bitcoin. La firma Schnorr è nota per la semplicità ed efficienza.

Per abilitare l'algoritmo Schnorr, seguire questi passaggi:

Passo 1: Verifica dell'abilitazione dell'algoritmo Schnorr

Per verificare se l'algoritmo Schnorr è già abilitato nella tua istanza di servizio, effettuare le seguenti operazioni:

Prima di eseguire i passi, assicurarsi di avere provisioned un'istanza di servizio e inizializzare l'istanza di servizio con il plug-in CLI(Trusted Key Entry)(CLI)plug-in o gli Utilities di gestione.

  1. Nella CLI, aggiornare il plug-in TKE CLI all'ultima versione con il seguente comando:

    ibmcloud plugin update tke
    
  2. Per verificare se l'algoritmo di Schnorr è abilitato, eseguire il seguente comando:

    ibmcloud tke cryptounit-compare
    

    La seguente emissione è un esempio di ciò che deve essere visualizzato. Se l'algoritmo Schnorr è abilitato, la colonna XCP_CPB_ECDSA_OTHER viene specificata come Set nella sezione CONTROL POINTS :

    CONTROL POINTS
    SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31
    CRYPTO UNIT NUM   XCP_CPB_ECDSA_OTHER
    1                 Set
    2                 Set
    

    Se viene visualizzato Not Set, effettuare le seguenti operazioni per abilitare manualmente l'algoritmo Schnorr.

Passo 2: Abilitare manualmente l'algoritmo Schnorr

Per abilitare l'algoritmo Schnorr per la tua istanza di servizio, seguire questi passaggi:

  1. Controllare e assicurarsi che tutte le unità di crittografia nella propria istanza di servizio siano selezionate con il seguente comando:

    ibmcloud tke cryptounits
    

    La seguente emissione è un esempio di ciò che deve essere visualizzato. Tutte le unità di crittografia selezionate sono contrassegnate true nella colonna SELECTED :

    SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba
    CRYPTO UNIT NUM   SELECTED   LOCATION
    1                 true       [us-south].[AZ3-CS3].[02].[03]
    2                 true       [us-south].[AZ2-CS2].[02].[03]
    
  2. Se le unità di crittografia non vengono selezionate, eseguire il seguente comando e seguire le richieste per aggiungere le unità di crittografia all'elenco selezionato:

    ibmcloud tke cryptounit-add
    
  3. Per abilitare l'algoritmo Schnorr, eseguire il seguente comando:

    ibmcloud tke cryptounit-cp-sig-other
    
  4. (Optional) Per confermare che l'algoritmo Schnorr è abilitato, eseguire nuovamente il comando ibmcloud tke cryptounit-compare e assicurarsi che XCP_CPB_ECDSA_OTHER sia contrassegnato come Set per tutte le unità di crittografia nell'output.

Operazioni successive

Ora è possibile iniziare a utilizzare API PKCS #11 o l'API GREP11 per eseguire operazioni crittografiche e proteggere i portafogli deterministici.