IBM Cloud Docs
Girando chaves mestras usando cartões inteligentes e os utilitários de gerenciamento

Girando chaves mestras usando cartões inteligentes e os utilitários de gerenciamento

É necessário girar a chave mestra para a sua instância IBM Cloud® Hyper Protect Crypto Services atender, de forma regular, aos padrões do mercado e às melhores práticas criptográficas. Este tópico orienta você pelas etapas para girar a chave mestra usando cartões inteligentes e os Utilitários de gerenciamento.

Quando a chave mestra está sendo girada, ainda é possível executar algumas ações de chave do KMS, como listar chaves, recuperar metadados de chave, ou excluir chaves, mas não é possível criar ou girar chaves. Não é possível chamar a API PKCS #11 ou a API GREP11 durante a rotação da chave mestra.

Girar a chave mestra criptografa novamente as chaves no armazenamento de chaves usando o novo valor da chave mestra.Após as chaves no armazenamento de chave serem recriptografadas, o valor no registro da nova chave mestra é promovido para o registro da chave mestra atual. Antes de começar a girar a chave mestra, você precisa:

Os objetos de chave no keystore na memória não são girados automaticamente após a rotação da chave mestra. Se os armazenamentos de chaves PKCS #11 estiverem ativados em sua instância de serviço, será necessário reiniciar todos os aplicativos PKCS #11 ativos para limpar o keystore na memória após a rotação da chave mestra ser concluída. Para obter mais informações, consulte Componentes de implementação PKCS #11

Antes de Iniciar

Antes de começar, certifique-se de ter feito o seguinte:

  1. As novas partes de chave mestra são preparadas para rotação. Para obter informações sobre como criar uma parte de chave mestra, consulte Gerar as chaves de assinatura e partes de chave mestra.

  2. Abrir o aplicativo Trusted Key Entry em sua estação de trabalho e clique na guia Unidades de criptografia. Conferir e certificar-se de que true seja exibido como o valor da coluna SELECIONADO para todas as unidades de criptografia na instância de serviço na qual você deseja girar a chave mestra. Se qualquer unidade de criptografia na instância de serviço não for selecionada, selecione as unidades de criptografia ao clicar no botão Incluir unidades de criptografia e os prompts a seguir.

    Só é possível trabalhar com apenas uma instância de serviço por vez. Se qualquer unidade de criptografia em outras instâncias de serviço estiver selecionada, clique no botão Remover unidades de criptografia para desmarcar.

Girando chaves mestras usando cartões inteligentes e os utilitários de gerenciamento

Para girar a chave mestra, siga estas etapas:

  1. Para carregar as partes da nova chave mestra no registro da nova chave mestra, siga estas etapas:

    1. Selecione a guia Chaves mestras e clique em Carregar.
    2. Se solicitado, insira um cartão inteligente do EP11 com uma chave de assinatura do administrador que é definida para as unidades criptográficas selecionadas no leitor de cartão inteligente 1 e insira o PIN do cartão inteligente no quadro do PIN do leitor de cartão inteligente.
    3. Quando solicitado, insira o número de partes da chave mestra a ser carregado. Apenas 2 ou 3 partes de chave mestra são aceitas.
    4. Quando solicitado, insira o cartão inteligente EP11 que contém a primeira parte de chave mestra no leitor de cartão inteligente 2 e insira o PIN de cartão inteligente no quadro do PIN do leitor de cartão inteligente.
    5. Selecione a parte de chave mestra a ser carregada na lista de partes de chave mestra no cartão inteligente.
    6. Repita as subetapas 4 e 5 para cada parte de chave mestra a ser carregada.

    Depois que todas as partes de chave mestra forem carregadas, o novo registro de chave mestra estará no estado Full uncommitted.

  2. Confirme a nova chave mestra ao seguir estas etapas:

    1. Clique em Confirmar para mover a chave mestra para o estado Full committed.
    2. Se solicitado, no leitor de cartão inteligente 1, insira um cartão inteligente EP11 com uma chave de assinatura de administrador que esteja definida para as unidades de criptografia selecionadas e insira o PIN do cartão inteligente no quadro do PIN do leitor de cartão inteligente.Repita esta operação, se solicitado, para mais cartões inteligentes do EP11 com chaves de assinatura.

    Após o processo ser concluído, o novo registro de chave mestra estará no estado Full committed.

  3. Se você tiver alguma chave de criptografia que seja criptografada com a chave mestra atual usando a API GREP11 e seja armazenada localmente, ligue para a API de RewrapKeyBlob GREP11 para recriptografar as chaves com a nova chave mestra.

    Certifique-se de executar esta etapa antes de girar a chave mestra. Caso contrário, suas chaves criptografadas com a chave mestra atual não poderão ser recriptografadas e usadas.

  4. Para criptografar novamente as chaves no keystore do serviço de gerenciamento de chave usando a chave mestra no novo registro da chave mestra, clique no botão Girar e clique em Sim na janela de mensagem Pode levar aproximadamente 60 segundos para recriptografar 3000 chaves.

    Ao receber as mensagens a seguir para operações do sistema, clique em OK para continuar:

    1. Master key rotation started.
    2. MKS CRK rewrap successful, waiting on cryptounit-mk-setimm.
    3. Master key rotation successful.

    A nova chave mestra está agora no estado Valid no registro de chave mestra atual. Confira Rotação de chave Master para obter informações sobre como os estados de chave mudam.

Você girou a chave mestra atual com sucesso com a nova chave mestra. As suas chaves de criptografia agora estão bem protegidas pela nova chave mestra.

Se ocorrer um erro durante a rotação da chave mestra, consulte Por que não consigo girar chaves mestras usando cartões inteligentes.

O que vem a seguir