使用包络加密保护数据-标准套餐
包络加密是使用 数据加密密钥(DEK)A cryptographic key used to encrypt data that is stored in an application. 对数据进行加密,然后使用您可以完全管理的 根密钥A symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service. 对 DEK 进行打包的做法。 Hyper Protect Crypto Services 服务实例中的根密钥也由硬件安全模块 (HSM) 主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.打包和保护。
通过包络加密,Hyper Protect Crypto Services 通过高级加密保护静态数据,并提供以下优势:
| 优点 | 描述 |
|---|---|
| 客户管理的加密密钥 | 通过该服务,可以供应根密钥来保护云中已加密数据的安全性。 根密钥充当密钥打包密钥,可帮助您管理和保护在 IBM Cloud 数据服务中供应的数据加密密钥 (DEK)。 您决定是 导入现有根密钥,还是让 Hyper Protect Crypto Services 代表您生成根密钥。 |
| 机密性和完整性保护 | Hyper Protect Crypto Services 使用高级加密标准 (AES) 算法以密码分组链接 (CBC) 方式来创建和保护密钥。 在服务中创建密钥时,Hyper Protect Crypto Services 会在 Hyper Protect Crypto Services 实例中生成密钥,主密钥会对密钥进行加密,以确保只有您具有访问权。 |
| 加密粉碎数据 | 如果您的组织检测到安全问题,或者您的应用程序不再需要一组数据,那么您可以选择从云中永久删除数据。 删除用于保护其他 DEK 的根密钥时,请确保无法再访问或解密这些密钥的关联数据。 |
| 授权用户访问控制 | 通过分配 Cloud Identity and Access Management (IAM) 角色,Hyper Protect Crypto Services 支持集中式访问控制系统以启用密钥的粒度访问。 有关更多信息,请参阅 授予对密钥的访问权。 |
包络加密中的密钥
以下密钥用于包络加密,用于高级加密和数据管理。
- 主密钥
- 主密钥 (也称为 HSM 主密钥) 是用于保护 Hyper Protect Crypto Services 实例的加密密钥。 主密钥提供对硬件安全模块的完全控制以及对用于加密整个密钥层次结构 (包括 根密钥 和 标准密钥) 的信任根的所有权。
- 根密钥
- 根密钥 (也称为客户根密钥 (CRK)) 是 Hyper Protect Crypto Services中的主资源。 它们是对称密钥打包密钥,用作用于打包 (加密) 和解包 (解密) 数据服务中存储的其他密钥的信任根。 通过 Hyper Protect Crypto Services,可以创建、存储和管理根密钥的生命周期,从而完全控制存储在云中的其他密钥。
- 标准密钥
- 标准密钥,可用作用于存储加密数据的数据加密密钥 (DEK)。 它们由用户拥有的应用程序提供,用于对存储在应用程序中的数据进行加密。 在 Hyper Protect Crypto Services 中管理的根密钥用作包装密钥以保护 DEK。
在 Hyper Protect Crypto Services中创建密钥后,系统将返回用于唯一标识密钥资源的密钥标识。 您可以使用此标识值对服务进行 API 调用。
运作方式
包络加密结合了多种加密算法的优势来保护云中的敏感数据。 包络加密的工作方式是使用您可以完全管理的根密钥,通过高级加密来打包一个或多个数据加密密钥 (DEK)。 此密钥打包过程将创建打包的 DEK,用于保护存储的数据,避免未经授权访问数据或数据泄露。 解包 DEK 将使用相同的根密钥来逆转包络加密过程,从而生成解密和认证的数据。
在 Hyper Protect Crypto Services 服务实例中管理的根密钥也由主密钥加密,以确保您完全控制整个密钥层次结构。
下图显示包络加密的上下文视图。
在 NIST Special Publication 800-57 Recommendation for Key Management 中简要介绍了包络加密。 要了解更多信息,请参阅 NIST SP 800-57 Pt. 1 Rev.$tag3
打包密钥
根密钥可帮助您对云中存储的数据加密密钥 (DEK) 进行分组、管理和保护。 可以通过指定 Hyper Protect Crypto Services 中您可以完全管理的根密钥并借助高级加密来打包一个或多个 DEK。
在 Hyper Protect Crypto Services中指定根密钥后,可以使用 Hyper Protect Crypto Services 密钥管理服务 API向服务发送密钥打包请求。 密钥打包操作将为 DEK 提供机密性和完整性保护。
下图显示正在执行的密钥打包过程。
解包密钥
解包数据加密密钥 (DEK) 会解密并认证密钥中的内容,从而将原始密钥资料返回给数据服务。
如果业务应用程序需要访问打包 DEK 的内容,那么可以使用 Hyper Protect Crypto Services 密钥管理服务 API 向服务发送解包请求。 要对 DEK 解包,请指定根密钥的标识值以及初始打包请求期间返回的 ciphertext 值。
下图显示正在执行的密钥解包。
发送解包请求后,系统会使用相同的 AES 算法来逆转密钥打包过程。 成功的解包操作会将 Base64 编码的 plaintext 值返回给 IBM Cloud 静态数据服务。
下一步
Hyper Protect Crypto Services 支持与其他服务集成。 通过包络加密,Hyper Protect Crypto Services 为集成服务中存储的数据提供高级保护。