Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Girando chaves mestras usando arquivos de parte de chave
É necessário girar a chave mestra para a sua instância IBM Cloud® Hyper Protect Crypto Services atender, de forma regular, aos padrões do mercado e às melhores práticas criptográficas. Para girar a chave mestra usando arquivos de parte de chave mestra em sua estação de trabalho local, siga estas etapas.
Quando a chave mestra está sendo girada, ainda é possível executar algumas ações de chave do KMS, como listar chaves, recuperar metadados de chave, ou excluir chaves, mas não é possível criar ou girar chaves. Não é possível chamar a API PKCS #11 ou a API GREP11 durante a rotação da chave mestra.
Girar a chave mestra recriptografa as chaves no armazenamento de chaves usando o valor da nova chave mestra.Após as chaves no armazenamento de chave serem recriptografadas, o valor no registro da nova chave mestra é promovido para o registro da chave mestra atual. Antes de começar a girar a chave mestra, é necessário fazer as etapas a seguir:
- Entenda como uma chave mestra é girada para o plano padrão ou para o plano Unified Key Orchestrator.
- Designe a função de acesso ao serviço Manager ou a função crypto unit administrator para executar operações da CLI do TKE. Para obter mais informações sobre o gerenciamento de acesso, consulte Gerenciando o acesso de usuário para o plano padrão ou para o plano Unified Key Orchestrator
- Configure todas as unidades de criptografia na instância de serviço da mesma forma.
Os objetos de chave no keystore na memória não são girados automaticamente após a rotação da chave mestra. Se os armazenamentos de chaves PKCS #11 estiverem ativados em sua instância de serviço, será necessário reiniciar todos os aplicativos PKCS #11 ativos para limpar o keystore na memória após a rotação da chave mestra ser concluída. Para obter mais informações, consulte Componentes de implementação PKCS #11
Antes de Iniciar
Antes de começar, certifique-se de fazer as etapas a seguir:
-
Conclua as etapas para configurar a CLI da IBM Cloud com o plug-in do TKE.
-
Verifique e certifique-se de que o registro de chave mestra atual esteja no
Validestado com a chave mestra atual carregada, o novo registro de chave mestra esteja vazio e as unidades de criptografia da instância de serviço não estejam no modo de impressão, executando o comando a seguir:ibmcloud tke cryptounit-compare -
As novas partes de chave mestra são preparadas para rotação. Para obter mais informações sobre como criar uma nova parte de chave mestra, consulte Criar um conjunto de partes de chave mestra para usar.
Girando chaves mestras usando arquivos de parte de chave
Para girar a chave mestra usando arquivos de parte de chave em sua estação de trabalho, siga estas etapas:
-
Carregue as novas partes da chave mestra no novo registro de chave mestra com o comando a seguir:
ibmcloud tke cryptounit-mk-loadPara carregar um registro de chave mestra, todos os arquivos de parte de chave mestra e arquivos-chaves de assinatura a serem usados devem estar presentes em uma estação de trabalho comum. Se os arquivos foram criados em estações de trabalho separadas, certifique-se de que os nomes de arquivo sejam diferentes para evitar confronto. Os proprietários do arquivo de parte de chave mestra e os proprietários do arquivo de chave de assinatura precisam inserir as senhas de arquivo quando o registro de chave mestra é carregado na estação de trabalho comum.
Uma lista das partes de chave mestra localizadas na estação de trabalho é exibida.
Quando solicitado, insira as partes de chave mestra a serem carregadas no novo registro de chave mestra, a senha para o arquivo de chave de assinatura a ser usado e a senha para cada arquivo de parte de chave selecionado sequencialmente.
A nova chave mestra está agora no estado
Full uncommittedno novo registro de chave mestraPara carregar uma nova chave mestra, é necessário inserir pelo menos duas partes de chave mestra. Certifique-se de que pelo menos uma parte de chave mestra não seja usada para a chave mestra atual. Caso contrário, a mesma chave mestra será gerada e não será possível carregá-la no novo registro de chave mestra.
-
Confirme a nova chave mestra com o comando a seguir:
ibmcloud tke cryptounit-mk-commitQuando solicitado, insira as senhas para os arquivos-chaves de assinatura a serem usados. É necessário um conjunto completo de assinaturas para aplicar a autenticação de quorum.
A nova chave mestra está agora no estado
Full committedno novo registro de chave mestra -
Se você tiver alguma chave de criptografia que esteja criptografada com a chave mestra atual usando a API GREP11 e não esteja armazenada no keystore dos Hyper Protect Crypto Services, chame a API GREP11 RewrapKeyBlob para recriptografar as chaves com a nova chave mestra.
Certifique-se de executar esta etapa antes de girar a chave mestra. Caso contrário, suas chaves criptografadas com a chave mestra atual não poderão ser recriptografadas e usadas.
Para uma introdução à API GREP11, consulte Apresentando o EP11 sobre gRPC. Também é possível localizar exemplos de código que são gravados em Golang e JavaScript no uso da API do GREP11
-
Gire a chave mestra atual com a nova chave mestra e criptografe novamente as chaves que são gerenciadas executando as etapas a seguir:
-
Inicie a rotação de chave mestra executando o comando a seguir:
ibmcloud tke cryptounit-mk-rotate -
Quando solicitado, digite
ypara continuar com a pré-verificação.As configurações a seguir são verificadas:
- Apenas uma instância de serviço é selecionada e todas as unidades de criptografia daquela instância de serviço são selecionadas.
- Todas as unidades de criptografia selecionadas deixaram o modo imprimir e possuem o mesmo limite de assinatura.
- Os administradores selecionados correspondem aos administradores instalados nas unidades de criptografia.
- Todas as unidades de criptografia têm os registros de chave novos e atuais configurados corretamente.
-
Para girar a chave mestra e ativar a nova chave mestra, insira a senha para o arquivo de chave de assinatura a ser usado quando solicitado.
Uma mensagem de êxito é exibida quando a rotação de chave mestra é concluída. Pode levar aproximadamente 60 segundos para recriptografar 3000 chaves.
A nova chave mestra está agora no estado
Validno registro de chave mestra atual. Confira a rotação de chave mestra para o plano padrão ou para o plano Unified Key Orchestrator para obter mais informações sobre como os estados de chave mudam. -
Suas chaves de criptografia agora são protegidas pela nova chave mestra..
Se ocorrer um erro durante a rotação da chave mestra, consulte Por que não consigo girar chaves mestras usando arquivos de parte de chave.
O que vem a seguir
- Para saber mais sobre o gerenciamento programático de suas chaves, confira o Hyper Protect Crypto Services doc de referência da API do serviço de gerenciamento de chaves. ou o Doc de referência da API Unified Key Orchestrator.
- Para saber mais sobre como criptografar seus dados usando a função HSM de nuvem do Hyper Protect Crypto Services, efetue check-out da referência de API PKCS #11 e do GREP11 documento de referência de API