IBM Cloud Docs
Protection des données avec le chiffrement d'enveloppe

Protection des données avec le chiffrement d'enveloppe

Key Protect utilise le chiffrement de l'enveloppe pour vous aider à protéger vos données Key Protect données non valides. Le chiffrement d'enveloppes consiste à chiffrer vos données avec une clé de chiffrement de données, puis à chiffrer la clé de chiffrement de données avec une clé racine. Cette rubrique décrit le processus de chiffrement de l'enveloppe et comment utiliser Key Protect pour chiffrer et déchiffrer vos données.

Lorsque vous travaillez avec des données sensibles, il est important d'utiliser des techniques de chiffrement avancées pour éviter une violation des données. Si vous disposez de quantités importantes de données confidentielles, il est souvent utile d'utiliser un système de gestion des clés pour vous aider à sécuriser vos données. Key Protect utilise la technique de chiffrement d'enveloppes pour assurer la résilience de vos données. Le chiffrement d'enveloppes est le processus d'utilisation de clés chiffrées, de clés de chiffrement de données et de clés racine, pour protéger vos données sensibles.

Imaginez que vous prévoyez d'envoyer une lettre à un collègue. Vous souhaitez discuter d'informations très sensibles, vous générez donc un code secret (clé de chiffrement de données) qui est utilisé pour écrire (chiffrer) le message dans la lettre. La lettre est envoyée dans une boîte aux lettres (clé de chiffrement de données encapsulée) qui ne peut être ouverte que par ceux qui ont une copie de la clé de la boîte aux lettres (clé racine), y compris le collègue. Quiconque n'a pas une copie exacte de la clé ne pourra pas ouvrir la boîte aux lettres et en voir le contenu. Lorsque votre collègue utilise la clé pour déverrouiller (déchiffrer) la boîte aux lettres, il doit connaître le code secret utilisé pour écrire la lettre pour être en mesure de comprendre le message. Quiconque ne connaît pas le code secret conclura que la lettre est un mélange aléatoire de caractères et ne sera pas en mesure d'en comprendre le contenu.

Les clés de chiffrement de données (DEK) sont conçues pour chiffrer vos données et peuvent être générées et gérées par votre service ou un service IBM Cloud.

Le chiffrement d'enveloppes offre plusieurs avantages pour la protection de vos données :

  • Protection grâce à une combinaison de plusieurs algorithmes Le chiffrement d'enveloppes utilise les meilleurs avantages des algorithmes à clés symétrique et publique pour sécuriser vos clés.
    1. Les algorithmes à clé symétrique fonctionnent plus rapidement, sont plus évolutifs et plus sécurisés que les algorithmes à clé publique. Les algorithmes à clé publique utilisent des mathématiques compliquées qui augmentent la surcharge de calcul, en particulier lorsqu'il s'agit de gros volumes de données. Les algorithmes à clé publique sont également plus sensibles aux attaques par force brute en raison de la présence d'un composant d'algorithme à clé privée facilement reconnaissable par les pirates. Les algorithmes à clé symétrique nécessitent moins de puissance de calcul et sont résistants aux attaques par force brute en raison d'une structure moins reconnaissable.
    2. Les algorithmes à clé publique permettent un contrôle d'accès plus facile lors de l'octroi de l'accès aux clés à un niveau individuel par rapport aux algorithmes à clé symétrique. Les algorithmes à clé symétrique ont un problème d'échange de clé, à savoir que l'accès à une clé secrète ne peut être échangé que via un transfert sécurisé. En utilisant des algorithmes à clé publique, les clés de chiffrement de données chiffrées (wDEK) ne peuvent être partagées et déchiffrées que par ceux qui ont accès à la clé racine de chiffrement, ce qui atténue le problème d'échange de clés des algorithmes symétriques.
  • Gestion des clés plus facile Vous pouvez chiffrer plusieurs clés de chiffrement de données sous une seule clé racine, ce qui minimise la quantité de clés que vous pourriez avoir à gérer dans un service de gestion de clés. Vous pouvez également choisir de gagner du temps sur la maintenance des clés en effectuant uniquement des rotations de vos clés racine, au lieu d'effectuer des rotations et de rechiffrer toutes vos clés de chiffrement de données. Notez que dans des cas tels que la rotation du personnel, les dysfonctionnements des processus ou la détection d'un problème de sécurité, il est recommandé de procéder à une rotation de toutes les clés de chiffrement de données et les clés racine associées à l'incident.
  • Protection des clés de données Vos clés de chiffrement de données étant encapsulées par une clé racine, vous n'avez pas à vous soucier du stockage de la clé de données chiffrée. Vous pouvez ainsi stocker la clé wDEK avec les données chiffrées associées.

Key Protect utilise l'algorithme Advanced Encryption Standard en Galois/Counter Mode (AES GCM) pour encapsuler et désencapsuler des clés de chiffrement des données. Les clés racine du client (CRK) qui ne sont pas importées sont créées avec les informations de la clé 256 bits. Les CRK importées peuvent comporter des informations de clé128, 192 ou 256 bits.

Fonctionnement du chiffrement d'enveloppes

Le chiffrement d'enveloppes fonctionne en utilisant une clé racine pour encapsuler (chiffrer) une ou plusieurs clés de chiffrement de données (DEK). La clé racine protège vos clés DEK encapsulées (chiffrées) avec des algorithmes de chiffrement, les protégeant des accès ou expositions non autorisés.

Le désencapsulage d'une clé DEK annule la procédure de chiffrement d'enveloppes à l'aide de la clé racine associée et génère une clé DEK déchiffrée et authentifiée. Une clé DEK encapsulée ne peut pas être désencapsulée sans la clé racine associée, ce qui ajoute une couche de sécurité supplémentaire à vos données.

Le chiffrement d'enveloppe est abordé dans le document NIST Special Publication 800-57, Recommendation for Key Management. Pour en savoir plus, voir NIST SP 800-57 Pt. 1 Rev. 4..

Types de clé

Pour le chiffrement avancé et la gestion des données, le service prend en charge deux types de clé, les clés racine et les clés standard.

Clés racine (root)
Les clés racine sont des ressources principales dans Key Protect. Il s'agit de clés d'encapsulage de clés symétriques utilisées en tant que racines de confiance pour l'encapsulage (chiffrement) et le désencapsulage (déchiffrement) d'autres clés stockées dans le service de données. Les clés racine contiennent du matériel de clé qui est utilisé pour encapsuler et désencapsuler des clés DEK. Les informations de la clé racine peuvent être importées ou générées par du service Key Protect.
Key Protect vous permet de créer, stocker et gérer le cycle de vie des clés racine pour obtenir le contrôle total des autres clés DEK stockées dans le cloud. Contrairement à une clé standard, le texte en clair d'une clé racine ne peut jamais quitter les limites du service Key Protect.
Clés standard
Les clés standard, qui peuvent être utilisées en tant que clés de chiffrement des données, peuvent stocker des données chiffrées dans Key Protect. Une fois que votre clé standard en texte en clair est générée et protège les données sous-jacentes, détruisez le texte en clair et stockez en toute sécurité la clé standard chiffrée.

Encapsulage de clés avec le chiffrement d'enveloppes

Vous pouvez encapsuler une ou plusieurs clés DEK avec des algorithmes de chiffrement avancés en désignant une clé racine dans Key Protect que vous pouvez gérer entièrement.

Pour chiffrer des données à l'aide du chiffrement d'enveloppes, procédez comme suit :

  1. Générez ou mettez à disposition une clé DEK à partir d'un service IBM Cloud, tel que COS, pour chiffrer vos données sensibles. La clé DEK chiffrera vos données sensibles.
  2. Générez ou importez une clé racine qui sera utilisée pour protéger la clé DEK de l'étape 1.
  3. Utilisez la clé racine pour chiffrer ou encapsuler la clé DEK. Pour garantir une sécurité de chiffrement maximale, vous pouvez indiquer des données authentifiées supplémentaires (AAD) lors de votre demande d'encapsulage. Notez que les mêmes données d'authentification seront requises lors du désencapsulage de la clé DEK.
  4. Les données chiffrées sont ensuite stockées sous forme de métadonnées dans le service Key Protect service. Stockez et conservez la sortie codée en base64 de la clé DEK encapsulée dans un emplacement sécurisé, tel qu'une application ou un service.

Vous pouvez générer une nouvelle clé DEK en omettant la propriété plaintext dans votre demande d'encapsulage. La clé DEK nouvellement créée sera automatiquement encapsulée dans la demande.

Désencapsulage de clés

Le désencapsulage d'une clé de chiffrement de données (DEK) déchiffre et authentifie les données protégées dans la clé.

If your business application needs to access the contents of your wrapped DEKs, you can use the Key Protect API to send an demande de déballage to the service.

Pour chiffrer des données à l'aide du chiffrement d'enveloppes, procédez comme suit :

  1. Extrayez le texte chiffré codé en base64 de la clé DEK encapsulée.
  2. Extrayez l'ID clé de la clé racine associée à la clé DEK.
  3. Faites une requête de débrouillage à Key Protect. Notez que si vous avez indiqué des données authentifiées supplémentaires (AAD) dans une demande d'encapsulage précédente, vous devez les fournir dans votre demande de désencapsulage.
  4. Utilisez le texte en clair codé en base64 renvoyé pour déchiffrer les données protégées par la clé DEK.

Intégration à des services IBM Cloud

IBM® Key Protect for IBM Cloud® s'intègre de nombreux services IBM Cloud pour activer le chiffrement avec les clés gérées par le client pour ces services.

L'association d'une ressource dans votre service de données cloud avec une clé racine dans Key Protect permet de protéger vos données au repos tout en ayant le contrôle de la gestion de la clé racine.

Pour plus d'informations sur les services qui offrent l'intégration à Key Protect, voirIntégration de services.