IBM Cloud Docs
Protección de datos con cifrado de sobre

Protección de datos con cifrado de sobre

Key Protect utiliza el cifrado de sobre para ayudar a proteger sus datos de Key Protect no válidos. El cifrado de sobre implica cifrar los datos con una clave de cifrado de datos y, a continuación, cifrar la clave de cifrado de datos con una clave raíz. En este tema se describe el proceso de cifrado de sobre y cómo utilizar Key Protect para cifrar y descifrar los datos.

Al trabajar con datos confidenciales, es importante utilizar técnicas de cifrado avanzadas para evitar una violación de datos. Si tiene grandes cantidades de datos confidenciales, a menudo es útil utilizar un sistema de gestión de claves para ayudar a mantener la seguridad de los datos. Key Protect utiliza la técnica de cifrado de sobre para mantener la capacidad de recuperación de los datos. El cifrado de sobre es el proceso de utilizar claves cifradas, claves de cifrado de datos y claves raíz, para proteger los datos confidenciales.

Imagine que planea enviar una carta a un colega. Desea discutir información que es extremadamente confidencial, por lo que genera un código secreto (Clave de cifrado de datos) que se utiliza para escribir (cifrar) el mensaje en la carta. La carta se entrega a un buzón (Clave de cifrado de datos encapsulada) que sólo pueden abrir los que tengan una copia de la clave de buzón (clave Root), incluyendo el compañero. Cualquier persona que no tenga una copia exacta de la llave será incapaz de abrir el buzón y ver su contenido. Cuando su colega utiliza la llave para desbloquear (descifrar) el buzón, necesitará saber el código secreto en el que se ha escrito la carta para poder entender el mensaje. Todo el que no esté al tanto del código secreto concluirá que la carta es una mezcla aleatoria de caracteres y no podrá entender el contenido de la carta.

Las claves de cifrado de datos (DEK) están diseñadas para cifrar los datos y pueden ser generadas y gestionadas por su servicio o por un servicio de IBM Cloud.

El cifrado de sobre ofrece varias ventajas para proteger los datos:

  • Protección bajo una combinación de múltiples algoritmos El cifrado de sobre utiliza los mejores beneficios de los algoritmos de clave simétrica y pública para mantener sus claves seguras.
    1. Los algoritmos de clave simétrica funcionan más rápido, son más escalables y más seguros que los algoritmos de clave pública. Los algoritmos de clave pública utilizan matemáticas complicadas que aumentan la sobrecarga computacional, especialmente cuando se trata de grandes volúmenes de datos. Los algoritmos de clave pública también son más susceptibles a los ataques de fuerza bruta debido a que tienen un componente de algoritmo de clave privada que es fácilmente reconocible por los hackers. Los algoritmos de clave simétrica requieren menos potencia de cálculo y son resistentes a los ataques de fuerza bruta debido a que tienen una estructura menos reconocible.
    2. Los algoritmos de clave pública permiten un control de acceso más fácil cuando se otorga acceso a claves a nivel individual en comparación con los algoritmos de clave simétrica. Los algoritmos de clave simétrica tienen un problema de intercambio de claves, que es que el acceso a una clave secreta sólo se puede intercambiar a través de una transferencia segura. Mediante el uso de algoritmos de clave pública, las DEK cifradas (wDEK) pueden ser compartidas y descifradas sólo por aquellos usuarios con acceso a la clave raíz de cifrado, hecho que mitiga el problema del intercambio de claves de algoritmos simétricos.
  • Gestión de claves más fácil Puede cifrar varias DEK bajo una clave raíz singular, lo que minimiza la cantidad de claves que podría necesitar gestionar en un servicio de gestión de claves. También puede optar por ahorrar tiempo en el mantenimiento de claves sólo rotando sus claves raíz, en lugar de rotar y volver a cifrar todas las DEK. Tenga en cuenta que en casos como la rotación de personal, el mal funcionamiento del proceso o la detección de un problema de seguridad, se recomienda rotar todas las DEK y las claves raíz asociadas con el incidente.
  • Protección de claves de datos Dado que las DEK están envueltas por una clave raíz, no tiene que preocuparse por cómo almacenar la clave de datos cifrados. Debido a esto, puede almacenar la wDEK junto con los datos cifrados asociados.

Key Protect utiliza el algoritmo Advanced Encryption Standard en modalidad Galois/Counter (AES GCM) para encapsular y desencapsular las DEK. Las CRK que no se importan se crean con material de clave de 256 bits. Las CRK importadas pueden tener un material de clave de 128, 192 o 256 bits.

Cómo funciona el cifrado de sobre

El cifrado de sobre funciona utilizando una clave raíz para envolver (cifrar) una o más claves de cifrado de datos (DEK). La clave raíz protege las DEK envueltas (cifradas) con algoritmos de cifrado, protegiéndolas del acceso no autorizado o la exposición.

Cuando se desenvuelve una DEK, se invierte el proceso de cifrado de sobre utilizando la clave raíz asociada, lo que da lugar a una DEK descifrada y autenticada. Una DEK envuelta no se puede desenvolver sin la clave raíz asociada, lo que añade una capa adicional de seguridad a los datos.

El cifrado de sobre se trata de forma breve en la NIST Special Publication 800-57, Recommendation for Key Management. Para obtener más información, consulte NIST SP 800-57 Pt. 1 Rev. 4..

Tipos de clave

El servicio da soporte a dos tipos de clave, las claves raíz y las claves estándar, para el cifrado avanzado y la gestión de datos.

Claves raíz
Las claves raíz son recursos primarios en Key Protect. Son claves para envolver claves simétricas que se utilizan como claves raíz de confianza para envolver (cifrando) y desenvolver (descifrando) otras claves almacenadas en un servicio de datos. Las claves raíz contienen material de la clave que se utiliza para envolver y desenvolver las DEK. El material clave de la clave raíz puede ser importado o generado por el servicio Key Protect.
Con Key Protect, puede crear, almacenar y gestionar el ciclo de vida de las claves raíz para lograr un control total de otras DEK almacenadas en la nube. A diferencia de una clave estándar, el texto sin formato de una clave raíz nunca puede dejar los límites del servicio Key Protect.
Claves estándar
Las claves estándar, que se pueden utilizar como DEK, pueden almacenar datos cifrados en Key Protect. Una vez que se genera la clave estándar de texto sin formato y se protegen los datos subyacentes, se destruye el texto sin formato y se almacena de forma segura la clave estándar cifrada.

Envolver claves con cifrado de sobre

Puede envolver una o varias DEK con algoritmos de cifrado avanzados designando una clave raíz en Key Protect que pueda gestionar por completo.

Complete los pasos siguientes para cifrar los datos mediante el cifrado de sobre:

  1. Genere o suministre una DEK de un servicio de IBM Cloud, como por ejemplo COS, para cifrar los datos confidenciales. La DEK cifrará sus datos confidenciales.
  2. Genere o importe una clave raíz que se utilizará para proteger la DEK del paso 1.
  3. Utilice la clave raíz para cifrar o envolver la DEK. Para proporcionar la máxima seguridad de cifrado, puede especificar datos autenticados adicionales (AAD) durante la solicitud para envolver. Tenga en cuenta que se necesitarán los mismos datos de autenticación al desenvolver la DEK.
  4. A continuación, los datos cifrados se almacenan como metadatos en el servicio Key Protect servicio. Almacene y mantenga la salida codificada en base64 de la DEK envuelta en una ubicación segura, como una aplicación o un servicio.

Puede generar una nueva DEK omitiendo la propiedad plaintext en la solicitud para envolver. La DEK recién creada se envolverá automáticamente como parte de la solicitud.

Desenvolvimiento de claves

Desenvolver una clave de cifrado de datos (DEK) descifra y autentica los datos protegidos dentro de la clave.

Si su aplicación empresarial necesita acceder al contenido de sus DEK envueltos, puede utilizar la Key Protect API para enviar una solicitud de desenvoltura al servicio.

Complete los pasos siguientes para cifrar los datos mediante el cifrado de sobre:

  1. Recupere el texto cifrado codificado en base64 de la DEK envuelta.
  2. Recupere el ID de clave de la clave raíz que está asociada con la DEK.
  3. Realice una solicitud de desenvoltura a Key Protect. Tenga en cuenta que si ha especificado datos autenticados adicionales (AAD) en una solicitud de envolver anterior, debe proporcionarlos en la solicitud de desenvolver.
  4. Utilice el texto sin formato codificado en base64 devuelto para descifrar los datos protegidos bajo la DEK.

Integración con IBM Cloud Services

IBM® Key Protect for IBM Cloud® se integra con diversos servicios de IBM Cloud para habilitar el cifrado con claves gestionadas por el cliente para dichos servicios.

Asociar un recurso en el servicio de datos de nube con una clave raíz en Key Protect permite proteger los datos en reposo y a la vez tener el control de gestión de la clave raíz.

Para obtener más información sobre los servicios que ofrecen integración con Key Protect, consulte Integración de servicios.