IBM Cloud Docs
Daten mit Envelope-Verschlüsselung schützen

Daten mit Envelope-Verschlüsselung schützen

Key Protect verwendet die Envelope-Verschlüsselung als Unterstützung beim Schutz Ihrer Key Protect- Daten abruft. Bei der Envelope-Verschlüsselung werden Ihre Daten mit einem Chiffrierschlüssel (Data Encryption Key) verschlüsselt, der dann mit einem Rootschlüssel verschlüsselt wird. In diesem Abschnitt wird der Prozess der Envelope-Verschlüsselung und die Vorgehensweise zur Verwendung von Key Protect zum Verschlüsseln und Entschlüsseln Ihrer Daten beschrieben.

Bei der Arbeit mit sensiblen Daten ist es wichtig, fortgeschrittene Verschlüsselungsverfahren zu verwenden, um einen Datenverstoß zu verhindern. Wenn Sie über große Mengen vertraulicher Daten verfügen, ist es oft hilfreich, ein Schlüsselverwaltungssystem zu verwenden, um die Sicherheit Ihrer Daten zu gewährleisten. Key Protect verwendet das Verschlüsselungsverfahren für Umschläge, um Ihre Daten widerstandsfähig zu halten. Bei der Envelope-Verschlüsselung werden Ihre Daten mit einem Chiffrierschlüssel (Data Encryption Key) verschlüsselt, der dann mit einem Rootschlüssel verschlüsselt wird. Bei der Envelope-Verschlüsselung werden verschlüsselte Schlüssel, Daten - Chiffrierschlüssel und Rootschlüssel, verwendet, um Ihre sensiblen Daten zu schützen.

Stellen Sie sich vor, Sie planen, einen Brief an einen Kollegen zu schicken. Sie wollen hochsensible Informationen besprechen und generieren daher einen geheimen Code (Data Encryption Key), mit dem Sie die Nachricht in den Brief schreiben (verschlüsseln). Der Brief wird an eine Mailbox (eingeschlossener Datenverschlüsselungsschlüssel) gesendet, auf die nur von Personen mit einer Kopie des Mailboxschlüssels (Rootschlüssel), einschließlich des Mitarbeiters, zugegriffen werden kann. Jeder, der keine genaue Kopie des Schlüssels hat, kann das Postfach nicht öffnen und den Inhalt sehen. Wenn Ihr Kollege den Schlüssel zum Entsperren (Entschlüsseln) des Postfachs verwendet, muss er den Geheimcode kennen, in dem der Brief geschrieben ist, um die Nachricht zu verstehen. Jeder, der den Geheimcode nicht kennt, wird daraus schließen, dass der Brief eine zufällige Mischung von Zeichen ist, und den Inhalt des Briefes nicht verstehen können.

Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) sind für die Verschlüsselung Ihrer Daten konzipiert und können von Ihrem Service oder einem IBM Cloud-Service generiert und verwaltet werden.

Die Envelope-Verschlüsselung bietet mehrere Vorteile für den Schutz Ihrer Daten:

  • Schutz durch eine Kombination mehrerer Algorithmen Die Envelope-Verschlüsselung nutzt die besten Vorteile von symmetrischen und öffentlichen Schlüsselalgorithmen, um Ihre Schlüssel sicher zu halten.
    1. Symmetrische Schlüsselalgorithmen arbeiten schneller, sind besser skalierbar und sicherer als Algorithmen mit öffentlichem Schlüssel. Öffentliche Schlüsselalgorithmen verwenden komplizierte Mathematik, die den Rechenaufwand erhöhen, vor allem, wenn es um große Datenmengen geht. Algorithmen mit öffentlichem Schlüssel sind auch anfälliger für Brute-Force-Angriffe, da sie eine für Hacker leicht erkennbare Komponente des privaten Schlüsselalgorithmus enthalten. Symmetrische Schlüsselalgorithmen benötigen weniger Rechenleistung und sind aufgrund ihrer weniger erkennbaren Struktur resistent gegen Brute-Force-Angriffe.
    2. Algorithmen mit öffentlichem Schlüssel ermöglichen im Vergleich zu symmetrischen Schlüsselalgorithmen eine einfachere Zugangskontrolle, wenn der Zugang zu Schlüsseln auf individueller Ebene gewährt wird. Symmetrische Schlüsselalgorithmen haben ein Schlüsselaustauschproblem, das heißt, dass der Zugriff auf einen geheimen Schlüssel nur durch einen sicheren Transfer ausgetauscht werden kann. Durch die Verwendung von Algorithmen mit öffentlichem Schlüssel können verschlüsselte DEKs (wDEKs) gemeinsam genutzt und nur von denjenigen entschlüsselt werden, die Zugang zum verschlüsselnden Rootschlüssel haben, wodurch das Schlüsselaustauschproblem symmetrischer Algorithmen gemildert wird.
  • Einfachere Schlüsselverwaltung Sie können mehrere DEKs unter einem Singular-Root-Schlüssel verschlüsseln, der die Anzahl der Schlüssel minimiert, die Sie möglicherweise in einem Schlüsselverwaltungsservice verwalten müssen. Sie können auch Zeit bei der Schlüsselpflege sparen, indem Sie nur Ihre Rootschlüssel rotieren, anstatt alle Ihre DEKs zu rotieren und neu zu verschlüsseln. Beachten Sie, dass in Fällen wie Personalfluktuation, Prozessfehlfunktionen oder Erkennung eines Sicherheitsproblers empfohlen wird, alle DEKs und Rootschlüssel, die dem Vorfall zugeordnet sind, zu drehen.
  • Schutz der Datenschlüssel Da Ihre DEKs von einem Root-Schlüssel umhüllt sind, müssen Sie sich keine Gedanken darüber machen, wie Sie den verschlüsselten Datenschlüssel speichern. Auf diese Weise können Sie die wDEK zusammen mit den zugehörigen verschlüsselten Daten speichern.

Key Protect verwendet den Algorithmus Advanced Encryption Standard im Galois/Counter Mode (AES GCM), um DEKs einzuschließen und deren Wrapping aufzuheben. Nicht importierte CRKs werden mit 256-Bit-Schlüsselmaterial erstellt. Importierte CRKs können 128-, 192- oder 256-Bit-Schlüsselinformationen enthalten.

Funktionsweise der Envelope-Verschlüsselung

Die Envelope-Verschlüsselungarbeitet mit einem Stammschlüssel, um einen oder mehrere Datenverschlüsselungsschlüssel (DEKs) zu umschließen (zu verschlüsseln). Der Rootschlüssel schützt Ihre umhüllten (verschlüsselten) DEKs mit Verschlüsselungsalgorithmen, die sie vor unbefugtem Zugriff oder einer unbefugten Belichtung schützen.

Das Entpacken eines DEK kehrt den Prozess der Envelope Verschlüsselung um, indem der zugehörige Rootschlüssel verwendet wird, was zu einem entschlüsselten und authentifizierten DEK führt. Ein eingewickeltes DEK kann nicht ohne den zugehörigen Rootschlüssel ausgepackt werden, was zu einer zusätzlichen Sicherheitsebene für Ihre Daten führt.

Die Envelope-Verschlüsselung wird kurz in der Dokumentation 'NIST Special Publication 800-57, Recommendation for Key Management' behandelt. Weitere Informationen finden Sie unter NIST SP 800-57 Pt. 1 Rev. 4..

Schlüsseltypen

Der Service unterstützt die zwei Schlüsseltypen 'Rootschlüssel' und 'Standardschlüssel' für die erweiterte Verschlüsselung und Verwaltung von Daten.

Rootschlüssel
Rootschlüssel sind Primärressourcen in Key Protect. Sie sind symmetrische Key-Wrapping-Schlüssel, die als vertrauenswürdige Roots für das Wrapping (Verschlüsseln) und das Aufheben des Wrappings (Entschlüsseln) von anderen Schlüssel verwendet werden, die in einem Datenservice gespeichert sind. Rootschlüssel enthalten Schlüsselmaterial, das zum Umwickeln und Entpacken von DEKs verwendet wird. Das Schlüsselmaterial des Rootschlüssels kann entweder importiert oder vom Key Protect-Service zu verifizieren.
Mit Key Protectkönnen Sie den Lebenszyklus von Rootschlüsseln erstellen, speichern und verwalten, um die volle Kontrolle über andere in der Cloud gespeicherte DEKs zu erreichen. Im Gegensatz zu einem Standardschlüssel kann der Klartext eines Rootschlüssels niemals die Grenzen des Key Protect-Service zu verifizieren.
Standardschlüssel
Standardschlüssel, die als DEKs verwendet werden können, können verschlüsselte Daten speichern in Key Protect. Wenn der Klartext-Standardschlüssel generiert wird und die zugrunde liegenden Daten geschützt werden, müssen Sie den Klartext zerstören und den verschlüsselten Standardschlüssel sicher speichern.

Wrapping von Schlüsseln mit der Envelope-Verschlüsselung

Sie können einen oder mehrere DEKs mit erweiterten Verschlüsselungsalgorithmen umschließen, indem Sie einen Stammschlüssel in Key Protect angeben, den Sie vollständig verwalten können.

Führen Sie die folgenden Schritte aus, um Daten per Envelope-Verschlüsselung zu verschlüsseln:

  1. Generieren oder Bereitstellen einer DEK aus einem IBM Cloud-Service, wie z. B. COS, um Ihre sensiblen Daten zu verschlüsseln. Die DEK verschlüsselt Ihre sensiblen Daten.
  2. Generieren oder Importieren Sie einen Stammschlüssel, der zum Schutz der DEK aus Schritt 1 verwendet werden soll.
  3. Verwenden Sie den Root-Schlüssel zum Verschlüsseln, oder verpacken Sie den DEK. Um maximale Verschlüsselungssicherheit zu gewährleisten, können Sie bei der Umschlaganfrage zusätzliche authentifizierte Daten (AAD) angeben. Beachten Sie, dass die gleichen Authentifizierungsdaten beim Auspacken des DEK erforderlich sind.
  4. Die verschlüsselten Daten werden dann als Metadaten im Key Protect- Dienstleistung. Speichern und verwalten Sie die base64-codierte Ausgabe von der eingeschlossenen DEK an einer sicheren Position, z. B. einer App oder einem Service.

Sie können einen neuen DEK erzeugen, indem Sie die plaintext-Eigenschaft in Ihrer Wrap-Anforderung weglassen. Die neu erstellte DEK wird automatisch als Teil der Anforderung verpackt.

Wrapping von Schlüsseln aufheben

Das Entpacken eines Datenverschlüsselungsschlüssels (DEK) entschlüsselt und authentifiziert die Daten, die innerhalb des Schlüssels geschützt sind.

Wenn Ihre Geschäftsanwendung auf den Inhalt Ihrer umschlossenen DEKs zugreifen muss, können Sie die Key Protect API verwenden verwenden, um eine Unwrap-Anfrage an den Dienst zu senden.

Führen Sie die folgenden Schritte aus, um Daten per Envelope-Verschlüsselung zu verschlüsseln:

  1. Rufen Sie den base64-codierten Chiffretext der eingeschlossenen DEK ab.
  2. Abrufen der Schlüssel-ID des Rootschlüssels, der der DEK zugeordnet ist.
  3. Stellen Sie eine Entpackungsanfrage an Key Protect. Beachten Sie, dass Sie zusätzliche authentifizierte Daten (AAD), die Sie in einer früheren Wrap-Anforderung angegeben haben, auch in Ihrer Unwrap-Anforderung angeben müssen.
  4. Verwenden Sie den zurückgegebenen base64-codierten Klartext, um die unter der DEK geschützten Daten zu entschlüsseln.

Integration mit IBM Cloud-Services

IBM® Key Protect for IBM Cloud® integriert mit einer Reihe von IBM Cloud-Services, um die Verschlüsselung mit vom Kunden verwalteten Schlüsseln für diese Services zu aktivieren.

Die Zuordnung einer Ressource in Ihrem Clouddatenservice mit einem Rootschlüssel in Key Protect ermöglicht es, Ihre Daten im Ruhezustand zu schützen, während Sie die Kontrolle über den Rootschlüssel haben.

Weitere Informationen zu den Services, die die Integration mit Key Protect anbieten, finden Sie unter Services integrieren.