Abilitazione dei meccanismi di cripto
Dopo alcune funzioni e meccanismi crittografici sono abilitati in IBM Cloud® Hyper Protect Crypto Services, tu, come amministratore di unità crittografata, potrebbe essere necessario abilitarli manualmente nella tua istanza Hyper Protect Crypto Services prima di poter iniziare ad utilizzare queste funzioni e meccanismi.
Il firmware HSM viene aggiornato nella supportate IBM Cloud regioni per abilitare le seguenti funzioni. Se la tua istanza di servizio viene fornita dopo che gli aggiornamenti firmware HSM sono distribuiti nella regione corrispondente, questa funzione è abilitata per impostazione predefinita. Tuttavia, per qualsiasi istanza di servizio esistente, dove la chiave principale viene impostata prima del rollout dell'aggiornamento firmware HSM, è necessario abilitare le funzioni manualmente in base alle necessità.
Abilitazione dei portafogli deterministici BIP32
Una Bitcoin Improvement Proposta (BIP) descrive una funzione per il bitcoin, e i processi o l'ambiente. Lo standard BIP 0032 (BIP32) viene utilizzato per i wallets deterministici gerarchici per definire come ricavare chiavi private e pubbliche di un wallet.
Per abilitare BIP32, seguire queste istruzioni:
Passo 1: Verifica dell'abilitazione BIP32
Per verificare se la funzione BIP32 è già abilitata nella tua istanza di servizio, effettuare le seguenti operazioni:
Prima di eseguire i passi, assicurarsi di avere provisioned un'istanza di servizio e inizializzare l'istanza di servizio con il plug-in CLI(Trusted Key Entry)(CLI)plug-in o gli Utilities di gestione.
-
Nella CLI, aggiornare il plug-in TKE CLI all'ultima versione con il seguente comando:
ibmcloud plugin update tke
-
Per verificare se la funzione BIP32 è abilitata, eseguire il seguente comando:
ibmcloud tke cryptounit-compare
La seguente emissione è un esempio di ciò che deve essere visualizzato. Se la funzione BIP32 è abilitata, la colonna
XCP_CPB_BTC
viene specificata comeSet
nella sezioneCONTROL POINTS
:CONTROL POINTS SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31 CRYPTO UNIT NUM XCP_CPB_BTC 1 Set 2 Set
Se viene visualizzato
Not Set
, effettuare le seguenti operazioni per abilitare manualmente la funzione BIP32.
Passo 2: Abilitare manualmente BIP32
Per abilitare BIP32 per la tua istanza di servizio, seguire questi passaggi:
-
Controllare e assicurarsi che tutte le unità di crittografia nella propria istanza di servizio siano selezionate con il seguente comando:
ibmcloud tke cryptounits
La seguente emissione è un esempio di ciò che deve essere visualizzato. Tutte le unità di crittografia selezionate sono contrassegnate
true
nella colonnaSELECTED
:SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba CRYPTO UNIT NUM SELECTED LOCATION 1 true [us-south].[AZ3-CS3].[02].[03] 2 true [us-south].[AZ2-CS2].[02].[03]
-
Se le unità di crittografia non vengono selezionate, eseguire il seguente comando e seguire le richieste per aggiungere le unità di crittografia all'elenco selezionato:
ibmcloud tke cryptounit-add
-
Per abilitare la funzione BIP32, eseguire il seguente comando:
ibmcloud tke cryptounit-cp-btc
-
(Optional) Per confermare che la funzione BIP32 è abilitata, eseguire nuovamente il comando
ibmcloud tke cryptounit-compare
e assicurarsi cheXCP_CPB_BTC
sia contrassegnato comeSet
per tutte le unità di crittografia nell'output.
Abilitazione dell'algoritmo di firma digitale in curva Edwards
L'algoritmo di firma digitale Edwards (EdDSA) è un algoritmo di firma digitale moderno e sicuro basato su curve ellittiche ottimizzate per le prestazioni.
Per abilitare EdDSA, attenersi alla seguente procedura:
Passo 1: verifica dell'abilitazione EdDSA
Per controllare se la funzionalità EdDSA è già abilitata nella propria istanza del servizio, effettuare le seguenti operazioni:
Prima di eseguire i passi, assicurarsi di avere provisioned un'istanza di servizio e inizializzare l'istanza di servizio con il plug-in CLI(Trusted Key Entry)(CLI)plug-in o gli Utilities di gestione.
-
Nella CLI, aggiornare il plug-in TKE CLI all'ultima versione con il seguente comando:
ibmcloud plugin update tke
-
Per verificare se la funzione EdDSA è abilitata, eseguire il seguente comando:
ibmcloud tke cryptounit-compare
La seguente emissione è un esempio di ciò che deve essere visualizzato. Se la funzione EdDSA è abilitata, la colonna
XCP_CPB_ALG_EC_25519
viene specificata comeSet
nella sezioneCONTROL POINTS
:CONTROL POINTS SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31 CRYPTO UNIT NUM XCP_CPB_ALG_EC_25519 1 Set 2 Set
Se viene visualizzato
Not Set
, attenersi alla seguente procedura per abilitare manualmente la funzione EdDSA.
Passo 2: abilita manualmente EdDSA
Per abilitare EdDSA per la propria istanza del servizio, attenersi alla seguente procedura:
-
Controllare e assicurarsi che tutte le unità di crittografia nella propria istanza di servizio siano selezionate con il seguente comando:
ibmcloud tke cryptounits
La seguente emissione è un esempio di ciò che deve essere visualizzato. Tutte le unità di crittografia selezionate sono contrassegnate
true
nella colonnaSELECTED
:SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba CRYPTO UNIT NUM SELECTED LOCATION 1 true [us-south].[AZ3-CS3].[02].[03] 2 true [us-south].[AZ2-CS2].[02].[03]
-
Se le unità di crittografia non vengono selezionate, eseguire il seguente comando e seguire le richieste per aggiungere le unità di crittografia all'elenco selezionato:
ibmcloud tke cryptounit-add
-
Per abilitare la funzione EdDSA, eseguire il seguente comando:
ibmcloud tke cryptounit-cp-eddsa
-
(Facoltativo) Per confermare che la funzione EdDSA è abilitata, eseguire nuovamente il comando
ibmcloud tke cryptounit-compare
e assicurarsi cheXCP_CPB_ALG_EC_25519
sia contrassegnato comeSet
per tutte le unità di crittografia nell'output.
Abilitazione dell'algoritmo Schnorr
L'algoritmo Schnorr può essere utilizzato come schema di firma per generare firme digitali. Si propone come algoritmo alternativo all'Elliptic Curve Digital Signature Algoritmo (ECDSA) per le firme crittografiche nel sistema Bitcoin. La firma Schnorr è nota per la semplicità ed efficienza.
Per abilitare l'algoritmo Schnorr, seguire questi passaggi:
Passo 1: Verifica dell'abilitazione dell'algoritmo Schnorr
Per verificare se l'algoritmo Schnorr è già abilitato nella tua istanza di servizio, effettuare le seguenti operazioni:
Prima di eseguire i passi, assicurarsi di avere provisioned un'istanza di servizio e inizializzare l'istanza di servizio con il plug-in CLI(Trusted Key Entry)(CLI)plug-in o gli Utilities di gestione.
-
Nella CLI, aggiornare il plug-in TKE CLI all'ultima versione con il seguente comando:
ibmcloud plugin update tke
-
Per verificare se l'algoritmo di Schnorr è abilitato, eseguire il seguente comando:
ibmcloud tke cryptounit-compare
La seguente emissione è un esempio di ciò che deve essere visualizzato. Se l'algoritmo Schnorr è abilitato, la colonna
XCP_CPB_ECDSA_OTHER
viene specificata comeSet
nella sezioneCONTROL POINTS
:CONTROL POINTS SERVICE INSTANCE: f410ea28-691a-4708-a580-1f813e0a6d31 CRYPTO UNIT NUM XCP_CPB_ECDSA_OTHER 1 Set 2 Set
Se viene visualizzato
Not Set
, effettuare le seguenti operazioni per abilitare manualmente l'algoritmo Schnorr.
Passo 2: Abilitare manualmente l'algoritmo Schnorr
Per abilitare l'algoritmo Schnorr per la tua istanza di servizio, seguire questi passaggi:
-
Controllare e assicurarsi che tutte le unità di crittografia nella propria istanza di servizio siano selezionate con il seguente comando:
ibmcloud tke cryptounits
La seguente emissione è un esempio di ciò che deve essere visualizzato. Tutte le unità di crittografia selezionate sono contrassegnate
true
nella colonnaSELECTED
:SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba CRYPTO UNIT NUM SELECTED LOCATION 1 true [us-south].[AZ3-CS3].[02].[03] 2 true [us-south].[AZ2-CS2].[02].[03]
-
Se le unità di crittografia non vengono selezionate, eseguire il seguente comando e seguire le richieste per aggiungere le unità di crittografia all'elenco selezionato:
ibmcloud tke cryptounit-add
-
Per abilitare l'algoritmo Schnorr, eseguire il seguente comando:
ibmcloud tke cryptounit-cp-sig-other
-
(Optional) Per confermare che l'algoritmo Schnorr è abilitato, eseguire nuovamente il comando
ibmcloud tke cryptounit-compare
e assicurarsi cheXCP_CPB_ECDSA_OTHER
sia contrassegnato comeSet
per tutte le unità di crittografia nell'output.
Operazioni successive
Ora è possibile iniziare a utilizzare API PKCS #11 o l'API GREP11 per eseguire operazioni crittografiche e proteggere i portafogli deterministici.
- Per ulteriori informazioni sui comandi CLI TKE, controllare il riferimento CLI TKE.
- Per ulteriori informazioni sull'API PKCS #11 , verificare Introducendo PKCS #11 e PKCS #11 riferimento API.
- Per ulteriori informazioni sull'API GREP11, consulta Introducing EP11 over gRPC and GREP11 API reference.
- Per saperne di più sulle differenze e le relazioni tra PKCS #11 e GREP11 API, consultare Introducendo il cloud HSM.