IBM Cloud Docs
Apresentando o HSM em nuvem-Plano Padrão

Apresentando o HSM em nuvem-Plano Padrão

Os IBM Cloud® Hyper Protect Crypto Services consistem em um módulo de segurança de hardware (HSM) certificado pelo FIPS 140-2 Nível 4 com base em nuvem que fornece APIs padronizadas para gerenciar chaves de criptografia e executar operações criptográficas.

O que é o HSM em nuvem?

Um módulo de segurança de hardware (HSM) é um dispositivo físico que salvaguarda e gerencia chaves digitais para autenticação forte e fornece processamento de criptografia. As HSMs protegem a infraestrutura criptográfica através de gerenciamento, armazenamento e proteção de chaves criptográficas dentro de um dispositivo resistente a um tamper-resistente.

Os Hyper Protect Crypto Services consistem em um HSM dedicado com base em nuvem para gerenciar chaves de criptografia e executar operações criptográficas. O HSM certificado pelo FIPS 140-2 Nível 4 fornece o nível mais alto de segurança para criptografia no mercado de nuvem. Com o recurso Mantenha sua Própria Chave (KYOK), é possível assumir propriedade do HSM em nuvem, o que garante que ninguém, incluindo administradores em nuvem, tenham acesso às suas chaves de criptografia. Dessa forma, é possível se beneficiar do nível mais alto de criptografia com base em hardware sem a necessidade de implementar um HSM real em sua estação de trabalho ou servidor local.

Para usar o HSM em nuvem do Hyper Protect Crypto Services para proteger suas chaves e dados, primeiro assuma o controle do HSM carregando a chave mestraAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.. A chave mestra, como a chave de agrupamento de chave, possui a raiz de confiança que criptografa toda a hierarquia de chaves de criptografia. Para obter mais informações, consulte Inicializando sua instância de serviço.

Executando operações criptográficas acessando o HSM em nuvem

Os Hyper Protect Crypto Services fornecem um conjunto de funções de criptografia que são executadas no HSM em nuvem. É possível realizar operações criptográficas, como geração de chaves, criptografia de dados e verificação de assinatura. Para isso, acesse o HSM em nuvem com a API do PKCS n° 11 ou o Enterprise PKCS n° 11 sobre a API do gRPC (GREP11).

Para garantir o controle exclusivo sobre a execução de operações criptográficas, é possível ativar a segunda camada de autenticação para conexões API do GREP11 ou do PKCS n° 11 com o plug-in da CLI do gerenciador de certificados. Ao ativar essa função, você inclui uma camada extra de controle de acesso em cima do token de gerenciamento de acesso e de identidade (IAM) para os aplicativos EP11. Uma conexão TLS mútua é estabelecida para garantir que apenas os aplicativos EP11 com um certificado de cliente válido podem executar operações do EP11. Para obter mais informações sobre como ativar a autenticação TLS, consulte Ativando a segunda camada de autenticação para conexões EP11.

Acessando o HSM em nuvem com a API PKCS n.º 11

Padrões Criptográficos de Chave Pública(PKCS)#11 é um padrão de mercado que define uma API independente de plataforma, chamada Cryptoki, para dispositivos como HSMs que retêm informações criptográficas e executam operações criptográficas.. Com o Hyper Protect Crypto Services, é possível usar a API do PKCS n° 11 padrão para acessar o HSM em nuvem com a biblioteca PKCS n° 11. A biblioteca conecta seus aplicativos ao HSM em nuvem para executar operações criptográficas.

Com o suporte da API do PKCS n° 11, não é necessário alterar seus aplicativos existentes que usam o padrão PKCS n° 11. A biblioteca do PKCS n.º 11 aceita as solicitações de API do PKCS n.º 11 de seus aplicativos e acessa remotamente o HSM de nuvem para executar as funções de criptografia correspondentes. Para obter mais informações sobre a API PKCS n.º 11, consulte Apresentando o PKCS n.º 11.

Acessando o HSM em nuvem com a API GREP11

Além da API PKCS n.º 11, também é possível usar a API Enterprise PKCS n.º 11 sobre gRPC (GREP11) para acessar o HSM em nuvem dos Hyper Protect Crypto Services. O Enterprise PKCS #11(EP11) é uma API criptográfica suportada pela IBMque está ativada no HSM da nuvem Hyper Protect Crypto Services. O EP11 é projetado para usuários que estão buscando suporte para padrões abertos e segurança aprimorada. A biblioteca EP11 oferece uma ampla variedade de funções criptográficas de propósito geral e fornece uma interface semelhante à API PKCS #11 . Os aplicativos existentes que usam o PKCS n° 11 podem se beneficiar da segurança reforçada porque os aplicativos podem ser migrados facilmente para atender aos requisitos do EP11.

Hyper Protect Crypto Services alavanca gRPC para ativar o acesso do aplicativo remoto ao HSM em nuvem. gRPC é uma estrutura de chamada de procedimento remoto (RPC) de alto desempenho de software livre moderna que pode conectar serviços em e entre data centers para balanceamento de carga, rastreio, verificação de funcionamento e autenticação. Com o gRPC, os aplicativos podem acessar remotamente o HSM em nuvem dos Hyper Protect Crypto Services para chamar funções de criptografia do EP11. Para obter mais informações sobre a API GREP11, consulte Apresentando o EP11 sobre gRPC.

Com as APIs do PKCS n° 11 e do GREP11, é possível executar chamadas de procedimento criptográfico remoto, e, por padrão, impor limites de tamanho de mensagem. O tamanho máximo da mensagem de recebimento é de 64 MB e o tamanho da mensagem não tem limite.

Comparando a API PKCS n.º 11 com a API GREP11

Tanto a API do PKCS n° 11 quanto a API do GREP11 acessam a biblioteca EP11 que é ativada pelo HSM em nuvem Hyper Protect Crypto Services para executar funções criptográficas. O diagrama a seguir ilustra as duas opções para interagir com o HSM em nuvem.

Executando operações criptográficas com a API PKCS #11 ou a API GREP11{: caption="Figura 1. Executando operações criptográficas com a API PKCS n.º 11 ou a API do GREP11" caption-side="bottom"}

Comparando com a API GREP11, a implementação da API PKCS n.º 11 padrão ativa os aplicativos móveis e fornece uma gama mais ampla de operações criptográficas. A tabela a seguir mostra as principais diferenças entre as duas opções.

Tabela 1. Comparando a API PKCS n.º 11 com a API GREP11
Perspectiva API PKCS #11 API GREP11
Implementação da interface Interface do stateful. O resultado de sua solicitação de API pode variar dependendo do estado implícito, como o estado da sessão e o estado do login do usuário. No caso do stateful, os dados são armazenados no host. Interface do stateless. O resultado de sua solicitação de API sempre permanece o mesmo. No caso do stateless, nenhum dado é armazenado no host.
Instalação prévia É necessário instalar a biblioteca PKCS n.º 11 em sua estação de trabalho local primeiro para acessar o HSM em nuvem dos Hyper Protect Crypto Services. Nenhuma instalação extra é necessária para acessar o HSM em nuvem Hyper Protect Crypto Services.
Migração do aplicativo Se seus aplicativos usarem a API PKCS n.º 11 padrão, não será necessário modificar seus aplicativos existentes especificamente para o EP11 ou gRPC. Para utilizar a API do GREP11, é necessário certificar-se de que seus aplicativos sejam desenvolvidos com base nos requisitos do EP11 e especificações do gRPC.
Autenticação e gerenciamento de acesso A biblioteca PKCS n.º 11 tem um conjunto de tipos de usuário padrão para autenticação. É necessário definir esses tipos de usuário em um arquivo de configuração independente e designar diferentes tipos de usuário às funções IBM Cloud Identity and Access Management (IAM) correspondentes para gerenciamento de acesso. Para obter mais informações, consulte Melhores práticas para configurar os tipos de usuário do PKCS n.º 11. A API GREP11 usa as funções padrão do IAM para definir o acesso correspondente. Para obter mais informações, veja Gerenciando o acesso de usuário.
Arquivo de configuração adicional Obrigatório. É necessário configurar todos os parâmetros que incluem as funções de usuário neste arquivo para garantir a implementação bem-sucedida da biblioteca PKCS n° 11. Para obter mais informações, consulte o modelo de arquivo de configuração. Não necessário. Os parâmetros que são necessários para conectar o HSM em nuvem dos Hyper Protect Crypto Services podem ser configurados com o código do aplicativo.
Keystore Fornecido por Hyper Protect Crypto Services. As chaves geradas com a API do PKCS n° 11 são protegidas pela chave mestra e são armazenadas em bancos de dados em nuvem. Não fornecido pelos Hyper Protect Crypto Services. É necessário armazenar chaves geradas pela API do GREP11 na estação de trabalho local ou em outros dispositivos.
Operações criptográficas suportadas

A API do PKCS n° 11 suporta a maioria das funções padrão do PKCS n° 11:

  • Uso geral.
  • Gerenciamento de slot e token.
  • Gerenciamento de sessões
  • Gerenciamento de objetos.
  • Gerar chaves.
  • Agrupar e desagrupar chaves.
  • Derivar chaves.
  • Criptografar e descriptografar dados.
  • Assinar e verificar mensagens.
  • Criar compilações de mensagens.
  • Recuperar informações do mecanismo.
  • Recuperar e configurar atributos de chaves.

A API GREP11 não suporta funções de uso geral e funções de gerenciamento de sessões. Suporta a maioria das funções criptográficas do EP11:

  • Gerar chaves.
  • Agrupar, desagrupar e reagrupar chaves.
  • Derivar chaves.
  • Criptografar e descriptografar dados.
  • Assinar e verificar mensagens.
  • Criar compilações de mensagens.
  • Recuperar informações do mecanismo.
  • Recuperar e configurar atributos de chaves.