IBM Cloud Docs
スマート・カードおよび管理ユーティリティーを使用したサービス・インスタンスの初期設定

スマート・カードおよび管理ユーティリティーを使用したサービス・インスタンスの初期設定

Hyper Protect Crypto Services インスタンスを使用するには、まず、マスター鍵をロードしてサービス・インスタンスを初期設定する必要があります。 指定の手順に従い、スマート・カードおよび Hyper Protect Crypto Services 管理ユーティリティーを使用してサービス・インスタンスを初期設定します。

サービス・インスタンスの初期設定方法の概要および関連する基本概念については、サービス・インスタンスの初期設定およびサービス・インスタンスの初期設定方法の概要を参照してください。

Hyper Protect Crypto Services 管理ユーティリティー は、スマート・カードを使用して 署名鍵An encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. およびマスター鍵パーツを保持します。このタスクの手順を実行する前に、スマート・カードと管理ユーティリティーのセットアップのタスクを完了する必要があります。

次の動画で、スマート・カードおよび管理ユーティリティーを使用した Hyper Protect Crypto Services インスタンスの初期設定方法を学習することもできます。

Hyper Protect Crypto Services インスタンスの初期化に使用される資産を保護するのは、お客様の責任です。 ベスト・プラクティスについては、 FAQ を参照してください。

開始前に

  1. 管理ユーティリティーがセットアップされていることを確認します。

  2. サービス・インスタンスの初期設定を始める前に、前提条件手順を実行します。

  3. 2 つの スマート・カード・リーダー をワークステーションの USB ポートに差し込みます。

  4. 管理ユーティリティー・アプリケーションをインストールしたサブディレクトリーに移動し、以下のコマンドを実行して、Trusted Key Entry アプリケーションを開始します。

    ./tke

スマート・カードからのマスター鍵のロード

IBM Cloud ユーザーに割り当てられている暗号装置は、 インプリント・モードAn operational mode in which crypto units are assigned to a user.と呼ばれるクリアな状態で開始します。 スマート・カードからマスター鍵をロードするには、Trusted Key Entry アプリケーションで以下の手順を実行します。

ステップ 1: 署名鍵とマスター鍵パーツを生成する

ワークステーションで TKE CLI プラグインを使用して署名鍵とマスター鍵パーツを作成した場合は、新しい鍵を生成する代わりに、それらをスマート・カードにコピーすることができます。 これを行うには、**「スマート・カード (Smart card)」タブで「署名鍵ファイルのコピー (Copy signature key file)」または「鍵パーツ・ファイルのコピー (Copy key part file)」**をクリックして、指示に従います。 プロセス中に、鍵ファイルのパスワードを指定する必要があります。

  1. 管理者の署名鍵を生成するために、**「スマート・カード (Smart card)」タブを選択し、「署名鍵の生成 (Generate signature key)」**をクリックします。

    プロンプトが出されたら、スマート・カード・リーダー 2 に EP11 スマート・カード を挿入します。 管理者の名前を入力し、スマート・カード・リーダーの PIN パッドにスマート・カードの個人識別番号 (PIN) を入力します。

    管理者の署名鍵が生成され、スマート・カードに保管されます。 各スマート・カードに保管できる署名鍵は、1 つだけです。 複数の管理者をセットアップする場合は、別の EP11 スマート・カードを使用してこの手順を繰り返します。

  2. サービス・インスタンスの初期設定用のマスター鍵パーツを生成するために、**「スマート・カード (Smart card)」タブで「鍵パーツの生成 (Generate key part)」**をクリックします。

    プロンプトが出されたら、スマート・カード・リーダー 2 に EP11 スマート・カードを挿入し、スマート・カードの PIN を入力します。キー・パーツの説明を入力します。

    ランダムなマスター鍵パーツが生成され、スマート・カードに保管されます。

    マスター鍵パーツを追加で作成するには、この手順を繰り返します。

    マスター・キーをロードするには、マスター・キー・パーツを 2 つ以上生成する必要があります。セキュリティー強化目的で、最大 3 つのマスター・キー・パーツを生成できます。 セキュリティーを強化するために、署名鍵とマスター鍵パーツを別々のスマート・カードに生成し、それぞれのスマート・カードを別の人に割り当てることができます。 詳しくは、スマート・カードのセットアップに関する推奨事項を参照してください。

  3. (オプション) EP11 スマート・カードのバックアップ・コピーを作成する場合は、**「スマート・カード (Smart card)」タブで「スマート・カードのコピー (Copy smart card)」**をクリックして、プロンプトに従います。

ステップ 2: マスター鍵をロードする暗号装置を選択する

**「暗号装置 (Crypto units)」**タブを選択します。 現行ユーザー・アカウントの下に、ターゲット・リソース・グループ内の 暗号装置A single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. のリストが表示されます。「選択済み」列で、今後コマンドで操作する暗号化ユニットを確認できます。

サービス・インスタンス ID を取得する方法について詳しくは、インスタンス ID の取得を参照してください。

  • 操作する暗号装置を追加で選択するには、**「暗号装置の追加 (Add crypto units)」**をクリックし、追加で操作する暗号装置の暗号装置番号 (CRYPTO UNIT NUM) を入力します。複数の暗号化ユニット番号を入力する場合はスペースで区切ります。
  • 操作するセットから暗号装置を除外するには、**「暗号装置の除外 (Remove crypto units)」**をクリックし、除外する暗号装置の暗号装置番号を入力します。複数の暗号化ユニット番号を入力する場合はスペースで区切ります。

操作が完了すると、これから実行するコマンドの対象になる各暗号装置の「選択済み (SELECTED)」列に「true」と表示されます。 サービス・インスタンスに複数の暗号装置を割り当てる場合は、サービス・インスタンスのすべての暗号装置を同じ構成にする必要があります。

フェイルオーバー用暗号装置を使用してリージョンをまたぐ高可用性を有効にする場合は、インスタンスの初期設定のために、選択したリストにすべてのフェイルオーバー用暗号装置を必ず追加してください。

フェイルオーバー用暗号装置を運用暗号装置と同様に初期設定および構成していない場合は、リージョン規模の災害発生時にデータの自動リストアのためにフェイルオーバー用暗号装置を使用することはできません。 リージョンをまたぐ災害復旧について詳しくは、高可用性と災害復旧を参照してください。

ステップ 3: 選択した暗号装置に管理者を追加する

マスター・キーをロードするコマンドには、暗号化ユニットに事前定義された管理者が署名する必要があります。このステップでは、管理者を事前定義します。

  1. **「管理者 (Administrators)」**タブを選択します。このタブには、暗号化ユニットに対するコマンドに署名できる管理者のリストが表示されます。
  2. **「管理者の追加 (Add administrator)」**をクリックします。
  3. プロンプトが出されたら、管理者の署名鍵が入った EP11 スマート・カードをスマート・カード・リーダー 1 に挿入し、スマート・カード・リーダーの PIN パッドに PIN を入力します。

パブリック署名キーと管理者名がスマート・カードから読み取られて、暗号化ユニットにインストールされます。操作が完了すると、選択した暗号化ユニットの「管理者名」フィールドに管理者の名前が表示されます。

セキュリティーおよびコンプライアンスの理由により、暗号装置の管理者名が監査目的でログに表示されることがあります。

複数の管理者を追加する場合は、このステップを繰り返します。 追加する管理者の数は、以下の値のうちの大きい方以上にする必要があります。

  • 最低必要署名数の値。 最低必要署名数とは、ほとんどの管理コマンドの実行に必要な署名数を制御するものです。
  • ステップ 4 で設定する予定の失効署名しきい値。 取り消しの最低必要署名数は、管理者の削除に必要な署名数を制御します。

スマート・カードから管理者の署名鍵を削除しないでください。 そうでない場合、暗号装置のゼロ化やマスター鍵のローテートなど、署名が必要な TKE アクションを実行できません。

今後のフェーズで管理者を削除したい場合は、**「管理者の削除」**をクリックします。

ステップ 4: 選択した暗号装置の最低必要署名数を設定してインプリント・モードを終了する

ユーザーに割り当てられたサービス・インスタンスの暗号化ユニットは、インプリント・モードと呼ばれるクリア済みの状態で開始します。インプリント・モードでは、暗号化ユニットのほとんどの操作が無効です。暗号化ユニットにマスター・キーをロードするには、まず署名しきい値をゼロより大きい値に設定してインプリント・モードを終了します。

  1. 最低必要署名数を設定するには、**「最低必要署名数 (Signature thresholds)」タブを選択し、「最低必要署名数の変更 (Change signature thresholds)」**をクリックします。
  2. プロンプトが出されたら、新しい最低必要署名数の値と新しい取り消しの最低必要署名数の値を入力します。 値は 1 から 8 までの数値としますが、同じ値にする必要はありません。署名しきい値とは、ほとんどの管理コマンドの実行に必要な署名数を制御するものです。失効署名しきい値とは、インプリント・モード終了後の管理者の削除に必要な署名数を制御するものです。 最低必要署名数の設定にかかわらず、署名を 1 つしか必要としないコマンドもあります。
  3. プロンプトが出されたら、スマート・カード・リーダー 1 で選択した暗号化ユニットに定義されている管理者署名キーを使用して EP11 スマート・カードを挿入します。 次に、スマート・カード・リーダーの PIN パッドにスマート・カードの PIN を入力します。署名キーの入った EP11 スマート・カードをさらに求めるプロンプトが出たら、この操作を繰り返します。 暗号装置のインプリント・モードが終了するときに、そのコマンドに必要になる署名数は、新しい最低必要署名数の値です。

最低必要署名数の値を設定すると、新しい値が**「最低必要署名数 (Signature thresholds)」**ページに表示されます。最低必要署名数を 1 より大きい値に設定すると、機密性の高い操作で複数の管理者によるクォーラム認証が有効になります。

有効な管理者署名キーが入った EP11 スマート・カードをスマート・カード・リーダー 1 に挿入し、PIN を入力すると、そのスマート・カードを使用して複数のコマンドに署名できます。有効な署名キーが入った EP11 スマート・カードがリーダーに挿入され、PIN が入力されていれば、ステップ 5 で署名キーの EP11 スマート・カードをスマート・カード・リーダー 1 に挿入するように求めるプロンプトは出されません。

ステップ 5: マスター鍵をロードする

マスター鍵レジスターの状態遷移について詳しくは、マスター鍵のロード方法についてを参照してください。

新規マスター鍵

レジスターへの ロード

  1. **「マスター鍵 (Master keys)」タブを選択し、「ロード (Load)」**をクリックします。
  2. プロンプトが出されたら、スマート・カード・リーダー 1 で選択した暗号化ユニットに定義されている管理者署名キーを使用して EP11 スマート・カードを挿入します。 次に、スマート・カード・リーダーの PIN パッドにスマート・カードの PIN を入力します。
  3. プロンプトが出されたら、ロードするマスター鍵パーツの数を入力します。 入力できるマスター鍵パーツの数は 2 または 3 のみです。
  4. プロンプトが出されたら、最初のマスター鍵パーツが入った EP11 スマート・カードをスマート・カード・リーダー 2 に挿入し、スマート・カード・リーダーの PIN パッドにスマート・カード PIN を入力します。
  5. スマート・カードのマスター鍵パーツのリストから、ロードするマスター鍵パーツを選択します。
  6. ロードするマスター鍵パーツごとに、手順 4 と 5 を繰り返します。
  7. プロンプトが出されたら、選択した暗号装置に定義した管理者署名鍵が入った EP11 スマート・カードをスマート・カード・リーダー 1 に挿入し、スマート・カード・リーダーの PIN パッドにスマート・カード PIN を入力します。

マスター鍵パーツがすべてロードされると、新規マスター鍵レジスターが Full uncommitted 状態になります。

新規マスター鍵レジスターのコミット

新しいマスター鍵レジスターを Full committed 状態に移行するには、必ず 前のステップ の直後にこのステップを実行してください。 そうしないと、サービス・インスタンスを初期化することも、 GREP11 API または PKCS #11 API を使用して暗号操作を実行することもできません。

  1. **「コミット (Commit)」**をクリックして、マスター鍵を Full committed 状態に移行します。
  2. プロンプトが出たら、選択した暗号化ユニットに定義した管理者署名キーの入った EP11 スマート・カードをスマート・カード・リーダー 1 に挿入し、スマート・カード・リーダーの PIN パッドにスマート・カード PIN を入力します。署名キーの入った EP11 スマート・カードをさらに求めるプロンプトが出たら、この操作を繰り返します。

プロセスが完了すると、新しいマスター鍵レジスターは Full committed 状態になります。

マスター鍵のアクティブ化

この手順は、サービス・インスタンスを初回セットアップするときに、キー・ストレージが空の場合にのみ実行してください。このコマンドは、現行マスター・キー・レジスターの値を変更します。キー・ストレージにキーがあるときにこのコマンドを実行して、それらのキーがこのコマンドによって現行マスター・キー・レジスターに入れられた値とは異なるマスター・キー値を使用して暗号化されると、キー・ストレージのキーは使用できなくなります。

  1. **「今すぐ設定する (Set immediate)」**をクリックして、新規マスター鍵レジスターの値を現行マスター鍵レジスターの値に移動して、新規マスター鍵レジスターをクリアします。
  2. マスター鍵を現行マスター鍵レジスターに移動する準備ができている場合は、**「はい (Yes)」**をクリックします。 このアクションは、元に戻すことはできません。
  3. プロンプトが出されたら、スマート・カード・リーダー 1 で選択した暗号化ユニットに定義されている管理者署名キーを使用して EP11 スマート・カードを挿入します。 次に、スマート・カード・リーダーの PIN パッドにスマート・カードの PIN を入力します。

現行マスター鍵レジスターの暗号装置がValid状態になります。これは、マスター鍵がサービス・インスタンスにロードされたことを示しています。

今後のフェーズで現行のマスター・キーをクリアする場合は、**「現行のクリア」**をクリックします。

次の作業

  • インスタンスのダッシュボードの**「KMS 鍵 (KMS keys)」**タブに移動して、ルート鍵と標準鍵を管理します。 プログラムで鍵を管理する方法について詳しくは、 Hyper Protect Crypto Services 鍵管理サービスの API リファレンス資料を確認してください。
  • クラウド HSM で暗号操作を実行する方法について詳しくは、クラウド HSM の概要を参照してください。
  • Hyper Protect Crypto Services を他の IBM Cloud サービスのルート鍵プロバイダーとして使用します。 Hyper Protect Crypto Services の統合について詳しくは、サービスの統合を確認してください。
  • Cloud Trusted Key Entry (TKE) およびスマート・カードを使用した IBM Cloud® Hyper Protect Crypto Services Enterprise PKCS#11 ハードウェア・セキュリティー・モジュールのセキュアな初期設定と管理の手順を含むテンプレートについては、Hyper Protect Crypto Services クラウド TKE プロシージャーを参照してください。