使用封套加密保護資料-標準方案
封套加密是使用 資料加密金鑰(DEK)A cryptographic key used to encrypt data that is stored in an application. 來加密資料,然後使用您可以完全管理的 根金鑰A symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service. 來包裝 DEK 的作法。 Hyper Protect Crypto Services 服務實例中的根金鑰也由硬體安全模組 (HSM) 主要金鑰An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.包裝並保護。
使用封套加密,Hyper Protect Crypto Services 可透過進階加密來保護您的靜態資料,並提供下列好處:
| 優點 | 說明 |
|---|---|
| 客戶管理的加密金鑰 | 您可以使用此服務來佈建根金鑰,以保護雲端中已加密資料的安全。 根金鑰作為金鑰的包裝金鑰,可協助您管理及保護 IBM Cloud 資料服務中所佈建的資料加密金鑰 (DEK)。 您決定是 匯入現有根金鑰,還是讓 Hyper Protect Crypto Services 代表您產生根金鑰。 |
| 機密性及完整性保護 | Hyper Protect Crypto Services 以密碼封鎖程式鏈結 (CBC) 模式,使用進階加密標準 (AES) 演算法來建立和保護金鑰。 當您在服務中建立金鑰時,Hyper Protect Crypto Services 會在 Hyper Protect Crypto Services 實例中產生金鑰,且主要金鑰會加密金鑰以確保只有您具有存取權。 |
| 資料的加密清除 | 如果您的組織偵測到安全問題,或您的應用程式不再需要一組資料,您可以選擇從雲端永久地清除資料。 當您刪除保護其他 DEK 的根金鑰時,即可確保無法再存取或解密這些金鑰的相關聯資料。 |
| 委派的使用者存取控制 | 透過指派 Cloud Identity and Access Management (IAM) 角色,Hyper Protect Crypto Services 支援集中式存取控制系統,以啟用金鑰的精細存取權。 如需相關資訊,請參閱 授與金鑰存取權。 |
封套加密中的金鑰
下列金鑰用於封套加密,以進行資料的進階加密及管理。
- 主要金鑰
- 主要金鑰 (也稱為 HSM 主要金鑰) 是用來保護 Hyper Protect Crypto Services 實例的加密金鑰。 主要金鑰提供硬體安全模組的完整控制權,以及加密整個金鑰階層 (包括 根金鑰 及 標準金鑰) 之信任根的所有權。
- 根金鑰
- 根金鑰 (也稱為客戶根金鑰 (CRK)) 是 Hyper Protect Crypto Services中的主要資源。 它們是對稱金鑰包裝金鑰,用來作為信任的根目錄,以包裝 (加密) 及解除包裝 (解密) 資料服務中儲存的其他金鑰。 使用 Hyper Protect Crypto Services,您可以建立、儲存及管理根金鑰的生命週期,來達到完全控制雲端中所儲存的其他金鑰。
- 標準金鑰
- 標準金鑰,可用作您用來儲存已加密資料的資料加密金鑰 (DEK)。 它們由使用者擁有的應用程式提供,並用來加密儲存在應用程式中的資料。 在 Hyper Protect Crypto Services 中管理的根金鑰充當包裝金鑰以保護 DEK。
在 Hyper Protect Crypto Services中建立金鑰之後,系統會傳回用來唯一識別金鑰資源的金鑰 ID。 您可以使用此 ID 值,對服務進行 API 呼叫。
如何運作
封套加密結合多種加密演算法的長處,可保護您在雲端中的機密資料。 其運作方式是使用您可完全管理的根金鑰,以利用進階加密來包裝一個以上的資料加密金鑰 (DEK)。 此金鑰包裝處理程序會建立已包裝的 DEK,它們能保護您的已儲存資料免於遭受未獲授權的存取或曝光。 解除包裝 DEK 會使用相同的根金鑰來反轉封套加密處理程序,進而產生解密且經過鑑別的資料。
在 Hyper Protect Crypto Services 服務實例中管理的根金鑰也會由主要金鑰加密,以確保您完全控制整個金鑰階層。
下圖顯示封套加密的環境定義視圖。
「NIST 特殊出版品 800-57」的「金鑰管理建議」中,簡要地論述封套加密。 若要進一步瞭解,請參閱 NIST SP 800-57 Pt. 1 Rev.4
包裝金鑰
根金鑰可協助您分組、管理及保護雲端中所儲存的資料加密金鑰 (DEK)。 在 Hyper Protect Crypto Services 中指定您可完全管理的根金鑰,即可使用進階加密來包裝一個以上的 DEK。
在 Hyper Protect Crypto Services中指定根金鑰之後,您可以使用 Hyper Protect Crypto Services 金鑰管理服務 API,將金鑰包裝要求傳送至服務。 金鑰包裝作業同時提供 DEK 的機密性及完整性保護。
下圖顯示運作中的金鑰包裝處理程序。
解除包裝金鑰
解除包裝資料加密金鑰 (DEK) 會解密並鑑別金鑰內的內容,並將原始金鑰資料傳回給您的資料服務。
如果您的商業應用程式需要存取已包裝 DEK 的內容,您可以使用 Hyper Protect Crypto Services 金鑰管理服務 API 將 unwrap 要求傳送至服務。 若要解除包裝 DEK,請指定根金鑰的 ID 值以及起始 wrap 要求期間所傳回的 ciphertext 值。
下圖顯示運作中的金鑰解除包裝。
在您傳送解除包裝要求之後,系統會使用相同的 AES 演算法來反轉金鑰包裝處理程序。 成功的解除包裝作業會將以 base64 編碼的 plaintext 值傳回給 IBM Cloud 靜止資料服務。
下一步
Hyper Protect Crypto Services 支援與其他服務整合。 使用封套加密,Hyper Protect Crypto Services 為儲存在整合服務中的資料提供進階保護。