IBM Cloud Docs
Protezione dei dati con la crittografia envelope

Protezione dei dati con la crittografia envelope

Key Protect utilizza la crittografia a busta per proteggere il vostro Key Protect. dati non vadidi. La crittografia a busta prevede la crittografia dei dati con una chiave di crittografia dei dati, quindi crittografare la chiave di crittografia dei dati con una chiave principale. Questo argomento descrive il processo di crittografia delle buste e come utilizzare Key Protect per criptare e decriptare i dati.

Quando si lavora con dati sensibili, è importante utilizzare tecniche di crittografia avanzate tecniche avanzate di crittografia per evitare una violazione dei dati. Se avete grandi quantità di dati riservati, è spesso utile utilizzare un sistema di gestione delle chiavi per garantire la sicurezza dei dati. Key Protect utilizza la tecnica di crittografia a busta per mantenere i vostri dati resistenti. La crittografia delle buste è il processo di utilizzo di chiavi crittografiche, chiavi di crittografia dei dati e chiavi radice, per proteggere i dati sensibili.

Immaginate di voler inviare una lettera a un collega. Si vuole discutere di informazioni altamente altamente sensibili, quindi si genera un codice segreto (Data Encryption Key) che viene utilizzato per scrivere (crittografare) il messaggio nella lettera. (crittografia) il messaggio nella lettera. La lettera viene consegnata a una casella di posta elettronica (chiave di crittografia dei dati impacchettata) che può essere aperta solo da chi possiede una copia della chiave della mailbox (chiave di root), compreso il collega. Chiunque Chi non possiede una copia esatta della chiave non potrà aprire la cassetta postale e vederne il contenuto. Quando Quando il collega usa la chiave per sbloccare (decriptare) la cassetta postale, deve conoscere il codice segreto in cui è scritta la lettera per poter capire il messaggio. in cui è scritta la lettera per poter capire il messaggio. Chiunque non sia a conoscenza del codice segreto codice concluderà che la lettera è un miscuglio casuale di caratteri e non sarà in grado di comprenderne il contenuto. contenuto della lettera.

Data encryption keys (DEKs) are designed to encrypt your data and can be generated and managed by your service or an IBM Cloud service.

La crittografia delle buste offre diversi vantaggi per la protezione dei dati:

  • Protezione con una combinazione di più algoritmi La crittografia a busta utilizza i migliori vantaggi degli algoritmi a chiave simmetrica e pubblica per proteggere le chiavi.
    1. Gli algoritmi a chiave simmetrica funzionano più velocemente, sono più scalabili e più sicuri degli algoritmi a chiave pubblica. Gli algoritmi a chiave pubblica utilizzano una matematica complicata che aumenta il sovraccarico computazionale, soprattutto quando si tratta di grandi volumi di dati. di dati. Gli algoritmi a chiave pubblica sono anche più suscettibili agli attacchi di forza bruta perché hanno una componente di algoritmo a chiave privata facilmente riconoscibile dagli hacker. facilmente riconoscibile dagli hacker. Gli algoritmi a chiave simmetrica richiedono una minore potenza di calcolo e sono resistenti agli attacchi di forza bruta grazie a una struttura meno riconoscibile.
    2. Gli algoritmi a chiave pubblica consentono un più facile controllo degli accessi quando si concede l'accesso alle chiavi a livello individuale rispetto agli algoritmi a chiave simmetrica. Gli algoritmi a chiave simmetrica hanno un problema di scambio di chiavi, ossia che l'accesso a una chiave segreta può essere scambiato solo attraverso un trasferimento sicuro. Utilizzando algoritmi a chiave pubblica, i DEK cifrati (wDEKs) possono essere condivisi e decifrati solo da chi ha accesso alla chiave radice di cifratura, mitigare il problema dello scambio di chiavi degli algoritmi simmetrici.
  • Gestione delle chiavi più semplice È possibile crittografare più DEK sotto un'unica chiave principale, riducendo così al minimo la quantità di chiavi da gestire in un servizio di gestione delle chiavi. di chiavi da gestire in un servizio di gestione delle chiavi. Si può anche scegliere di risparmiare tempo sulla manutenzione delle chiavi ruotando solo le chiavi radice, invece di ruotare e ricifrare tutti i DEK. di ruotare e ricifrare tutti i DEK. Si noti che in casi come l'avvicendamento del personale, i malfunzionamenti dei processi o il rilevamento di un problema di sicurezza di un problema di sicurezza, si consiglia di ruotare tutti i DEK e le chiavi radice associati all'incidente.
  • Protezione della chiave dati Poiché i DEK sono avvolti da una chiave principale, non è necessario preoccuparsi di come memorizzare la chiave dei dati crittografati. Per questo motivo, è possibile è possibile memorizzare il wDEK insieme ai dati crittografati associati.

Key Protect utilizza l'algoritmo Advanced Encryption Standard in modalità Galois/Counter (AES GCM) per avvolgere e scartare i DEK. I CRK non importati sono creati con materiale di chiave a 256 bit. I CRK importati possono avere chiavi a 128, 192 o 256 bit.

Come funziona la crittografia delle buste

La crittografia a busta funziona utilizzando una chiave principale per avvolgere (criptare) una o più chiavi di crittografia dei dati (DEK). La chiave principale protegge le DEK avvolte (crittografate) con algoritmi di crittografia, proteggendole da accesso non autorizzato o dall'esposizione.

La decrittazione di un DEK inverte il processo di crittografia della busta utilizzando la chiave associata, ottenendo un DEK decifrato e autenticato. Un DEK avvolto non può non può essere decompresso senza la chiave radice associata, il che aggiunge un ulteriore livello di sicurezza ai dati. sicurezza ai dati.

La crittografia envelope è trattata brevemente in NIST Special Publication 800-57, Recommendation for Key Management. Per saperne di più, vedere NIST SP 800-57 Pt. 1 Rev. 4..

Tipi di chiave

Il servizio supporta due tipi di chiavi, le chiavi root e le chiavi standard, per la crittografia avanzata e la gestione dei dati.

Chiavi root
Le chiavi radice sono risorse primarie in Key Protect. Sono le chiavi di impacchettamento della chiave simmetriche utilizzate come radice di attendibilità per l'impacchettamento (crittografia) e lo spacchettamento (decrittografia) di altre chiavi archiviate in un servizio di dati. Chiavi radice contengono il materiale della chiave che viene utilizzato per avvolgere e scartare i DEK. La chiave della chiave principale può essere importata o generata da Key Protect servizio.
Con Key Protect, è possibile creare, memorizzare e gestire il ciclo di vita delle chiavi radice per ottenere il pieno controllo delle altri DEK memorizzati nel cloud. A differenza di una chiave standard, il testo in chiaro di una chiave di una chiave radice non può mai uscire dai limiti della chiave Key Protect servizio.
Chiavi standard
Le chiavi standard, che possono essere utilizzate come DEK, possono memorizzare i dati crittografati in Key Protect. Una volta generata la chiave una volta che la chiave standard del testo in chiaro è stata generata e protegge i dati sottostanti, distruggere il testo in e conservare in modo sicuro la chiave standard crittografata.

Avvolgimento delle chiavi con la crittografia a busta

È possibile avvolgere uno o più DEK con algoritmi di crittografia avanzati designare una chiave principale in Key Protect che si può gestire completamente. che si può gestire completamente.

Completate i seguenti passaggi per criptare i dati tramite la crittografia a busta:

  1. Generare o fornire un DEK da un servizio IBM Cloud, come COS, per crittografare i dati sensibili. Il DEK cripta i vostri dati sensibili.
  2. Generare o importare una chiave di root che sarà usata per proteggere il DEK del passo 1.
  3. Utilizzare la chiave principale per crittografare o avvolgere il DEK. Per garantire la massima sicurezza della crittografia, è possibile specificare ulteriori dati autenticati (AAD) durante la richiesta di wrap. Si noti che gli stessi dati di autenticazione saranno richiesti quando si decompone il DEK.
  4. I dati crittografati vengono quindi memorizzati come metadati nel file Key Protect servizio. Conservare e mantenere l'output codificato base64 dal DEK avvolto in un luogo sicuro, come un'applicazione o un servizio.

È possibile generare un nuovo DEK omettendo la proprietà plaintext nella richiesta di richiesta di wrap. Il DEK appena creato sarà automaticamente impacchettato come parte della richiesta. della richiesta.

Spacchettamento delle chiavi

La decodifica di una chiave di crittografia dei dati (DEK) decifra e autentica i dati protetti dalla chiave. protetti all'interno della chiave.

If your business application needs to access the contents of your wrapped DEKs, you can use the Key Protect API to send an richiesta di scarto to the service.

Completate i seguenti passaggi per criptare i dati tramite la crittografia a busta:

  1. Recupera il testo cifrato base64 codificato del DEK avvolto.
  2. Recuperare l'ID della chiave della chiave principale associata al DEK.
  3. Effettuare una richiesta di unwrap a Key Protect. Si noti che se si sono specificati dati aggiuntivi autenticati (AAD) in una precedente richiesta di wrap, è necessario fornirli nella richiesta di unwrap. precedente, è necessario fornirli nella richiesta di unwrap.
  4. Utilizzare il testo in chiaro codificato base64 restituito per decifrare i dati protetti con il DEK. il DEK.

Integrazione con i servizi IBM Cloud

IBM® Key Protect for IBM Cloud® si integra con una serie di IBM Cloud per abilitare la crittografia con chiavi gestite dal cliente per tali servizi. chiavi gestite dal cliente per tali servizi.

Associare una risorsa del servizio dati cloud a una chiave principale in Key Protect consente di proteggere i dati a riposo e di avere il controllo della gestione della chiave principale. a riposo, pur avendo il controllo della gestione della chiave principale.

Per ulteriori informazioni sui servizi che offrono l'integrazione con Key Protect, vedere Integrazione dei servizi.