Proteggere i tuoi dati con la crittografia envelope - Standard Plan
La crittografia envelope è la pratica di crittografare i dati con una chiave di crittografia dei dati(DEK)A cryptographic key used to encrypt data that is stored in an application. e quindi impacchettare la DEK con una chiave rootA symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service. che puoi gestire completamente. Anche le chiavi root nella tua istanza del servizio Hyper Protect Crypto Services sono impacchettate e protette dalla chiave masterAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.dell'HSM (hardware security module).
Con la crittografia busta, Hyper Protect Crypto Services protegge i tuoi dati a riposo con crittografia avanzata e offre i seguenti vantaggi:
| Vantaggio | Descrizione |
|---|---|
| Chiavi di crittografia gestite dal cliente | Con il servizio, puoi fornire le chiavi di crittografia per proteggere la sicurezza dei tuoi dati codificati nel cloud. Le chiavi root sono utilizzate come chiavi di impacchettamento della chiave, che ti aiutano a gestire e proteggere le chiavi di crittografia dei dati (DEK, data encryption key) fornite nei servizi di dati IBM Cloud. Si decide se importare i propri tasti root esistenti oppure avere Hyper Protect Crypto Services generano chiavi di root per tuo conto. |
| Protezione integrità e riservatezza | Hyper Protect Crypto Services utilizza l'algoritmo AES (Advanced Encryption Standard) in modalità CBC (Cipher Blocker Chaining) per creare e proteggere chiavi. Quando si creano chiavi nel servizio, Hyper Protect Crypto Services li genera nell'istanza Hyper Protect Crypto Services e la chiave principale codifica le chiavi per garantire solo l'accesso. |
| Distruzione crittografica dei dati | Se la tua organizzazione rileva un problema di sicurezza o se la tua applicazione non ha più bisogno di una serie di dati, puoi scegliere di eliminare definitivamente i dati dal cloud. Quando elimini una chiave root che protegge altre DEK, ti assicuri che i dati associati alle chiavi non siano più accessibili o decodificabili. |
| Controllo dell'accesso utente delegato | Assegnando i ruoli Cloud Identity and Access Management (IAM), Hyper Protect Crypto Services supporta un sistema di controllo accessi centralizzato per consentire l'accesso granulare per le tue chiavi. Per ulteriori informazioni, vedi Concessione dell'accesso alle chiavi. |
Chiavi in codifica busta
I seguenti tasti vengono utilizzati in crittografia per la crittografia avanzata e la gestione dei dati.
- Chiavi master
- Le chiavi master, note anche come chiavi master HSM, sono chiavi di codifica utilizzate per proteggere le istanze Hyper Protect Crypto Services. La chiave principale fornisce il controllo completo del modulo di sicurezza hardware e la proprietà della root di trust che codifica l'intera gerarchia delle chiavi, tra cui chiavi di root e chiavi standard.
- Chiavi root
- I tasti di root, noti anche come chiavi di root del cliente (CRKs), sono risorse primarie in Hyper Protect Crypto Services. Sono chiavi di impacchettamento della chiave simmetriche che vengono utilizzate come root of trust per impacchettare (crittografare) e spacchettare (decrittografare) altre chiavi che sono memorizzate in un servizio dati. Con Hyper Protect Crypto Services, puoi creare, memorizzare e gestire il ciclo di vita delle chiavi root per ottenere il controllo completo di altre chiavi archiviate nel cloud.
- Chiave standard
- Chiavi standard, che possono essere utilizzate come chiavi di crittografia dei dati (DEK) che si utilizzano per memorizzare i dati crittografati. Sono forniti da applicazioni di proprietà dell'utente e vengono utilizzati per crittografare i dati memorizzati nelle applicazioni. I tasti di root gestiti in Hyper Protect Crypto Services servono come chiavi di confezionamento per proteggere DEKs.
Dopo aver creato una chiave in Hyper Protect Crypto Services, il sistema restituisce un ID chiave utilizzato per identificare univocamente la risorsa chiave. È possibile utilizzare questo valore ID per effettuare chiamate API al servizio.
Modalità di funzionamento
La crittografia envelope combina la forza di più algoritmi di codifica per proteggere i tuoi dati sensibili nel cloud. Funziona impacchettando una o più chiavi di crittografia dei dati (DEK) con la codifica avanzata utilizzando una chiave root che puoi completamente gestire. Questo processo di impacchettamento della chiave crea DEK impacchettate che proteggono i tuoi dati archiviati dall'esposizione o dall'accesso non autorizzato. Annullare l'impacchettamento di una chiave inverte il processo di crittografia envelope utilizzando la stessa chiave root, lasciando i dati non autenticati e decrittografati.
I tasti di root gestiti in un'istanza di servizio Hyper Protect Crypto Services sono crittografati anche dalla chiave principale che ti garantisce il pieno controllo dell'intera gerarchia delle chiavi.
Il seguente diagramma mostra una vista contestuale della crittografia dell'involucro.
La crittografia envelope è trattata brevemente in NIST Special Publication 800-57, Recommendation for Key Management. Per saperne di più vedere NIST SP 800 - 57 Pt. 1 Rev. 4
Impacchettamento delle chiavi
Le chiavi root ti aiutano a raggruppare, gestire e proteggere le chiavi di crittografia dei dati (DEK) archiviate cloud. Puoi impacchettare una o più DEK con la crittografia avanzata designando una chiave root in Hyper Protect Crypto Services che puoi gestire completamente.
Dopo aver designato un tasto root in Hyper Protect Crypto Services, è possibile inviare una richiesta di wrap a chiave al servizio utilizzando il Hyper Protect Crypto Services API dei servizi di gestione chiavi. L'operazione di impacchettamento della chiave fornisce la protezione di integrità e riservatezza per una DEK.
Il seguente diagramma mostra il processo di impacchettamento delle chiavi in azione.
Spacchettamento delle chiavi
Lo spacchettamento di una chiave di crittografia dei dati (o DEK, data encryption key) decodifica e autentica il contenuto nella chiave, restituendo il materiale della chiave originale al tuo servizio di dati.
Se la tua applicazione aziendale deve accedere al contenuto delle tue DEK impacchettate, puoi utilizzare l'API del servizio di gestione delle chiaviHyper Protect Crypto Services per inviare una richiesta di spacchettamento al servizio. Per spacchettare una DEK, specifica il valore ID della chiave root e il valore ciphertext restituito durante la richiesta di impacchettamento iniziale.
Il seguente diagramma mostra lo spacchettamento delle chiavi in azione.
Dopo aver inviato la richiesta di spacchettamento, il sistema inverte il processo di impacchettamento della chiave utilizzando gli stessi algoritmi AES. Un'operazione di spacchettamento corretta restituisce il valore plaintext codificato
con base64 al servizio di dati inattivi IBM Cloud.
Operazioni successive
Hyper Protect Crypto Services supporta l'integrazione con altri servizi. Con la crittografia busta, Hyper Protect Crypto Services fornisce una protezione avanzata ai tuoi dati memorizzati nei servizi integrati.
- Per l'elenco completo dei servizi supportati per l'integrazione, consultare Integrating services.
- Per come creare un tasto root per la crittografia dell'involucro, consultare Creazione di chiavi di root.
- Per come portare i propri tasti di root per la crittografia dell'involucro, consultare Importing root keys.