Protegendo dados com criptografia de envelope
O Key Protect usa a criptografia de envelope para auxiliar na proteção dos dados do Key Protect dados. A criptografia de envelope envolve criptografar seus dados com uma Chave de Criptografia de Dados e, em seguida criptografar a Chave de Criptografia de Dados com uma chave raiz. Este tópico descreve o processo de criptografia de envelope e mostra como usar o Key Protect para criptografar e decriptografar os dados.
Ao trabalhar com dados sensíveis, é importante usar técnicas avançadas de criptografia para evitar uma violação de dados. Se você tiver grandes quantidades de dados confidenciais, muitas vezes é útil usar um Sistema de Gerenciamento de Chaves para ajudar a manter seus dados seguros. O Key Protect usa a técnica de criptografia de envelope para manter seus dados resilientes. A criptografia de envelope é o processo de uso de chaves criptografadas, Chaves de Criptografia de Dados e chaves raiz para proteger seus dados sensíveis.
Imagine que você planeja enviar uma carta a um colega. Você quer discutir informações que são altamente sensíveis, então você gera um código secreto (Chave de Criptografia de Dados) que é usado para escrever (criptografar) a mensagem na carta. A carta é enviada para uma caixa de correio (Chave de criptografia de dados agrupada) que só pode ser aberta por alguém que tenha uma cópia da chave da caixa de correio (chave Raiz), incluindo colegas. Quem não tiver uma cópia exata da chave não poderá abrir a caixa de correio e ver seu conteúdo. Quando o seu colega usar a chave para desbloquear (decriptografrar) a caixa de correio, ele precisará saber o código secreto em que a carta está escrita para poder entender a mensagem. Quem não tem conhecimento do código secreto concluirá que a carta é uma mistura aleatória de caracteres e não será capaz de entender o conteúdo dela.
As chaves de criptografia de dados (DEKs) são projetadas para criptografar seus dados e podem ser geradas e gerenciadas pelo seu serviço ou por um serviço do IBM Cloud.
A criptografia de envelope oferece vários benefícios para a proteção de seus dados:
- Proteção com uma combinação de vários algoritmos A criptografia de envelope usa os melhores benefícios de algoritmos de chaves simétrica e pública para manter suas chaves seguras.
- Os algoritmos de chave simétrica funcionam mais rápido, são mais escaláveis e mais seguros do que os algoritmos de chave pública. Os algoritmos de chave pública usam matemática complicada que aumenta a sobrecarga computacional, especialmente ao lidar com grandes volumes de dados. Os algoritmos de chave pública também são mais suscetíveis a ataques de força bruta por terem um componente de algoritmo de chave privada que é facilmente reconhecível por hackers. Os algoritmos de chave simétrica requerem menos energia computada e são resistentes a ataques de força bruta por terem uma estrutura menos reconhecível.
- Os algoritmos de chave pública permitem um controle de acesso mais fácil ao conceder acesso a chaves em um nível individual em comparação com algoritmos de chave simétrica. Os algoritmos de chave simétrica têm um problema de troca de chave, em que o acesso a uma chave secreta pode ser trocado apenas por meio de uma transferência segura. Ao usar algoritmos de chave pública, as DEKs criptografadas (wDEKs) podem ser compartilhadas e descriptografadas apenas por quem tem acesso à chave raiz de criptografia, minimizando o problema de troca de chave de algoritmos simétricos.
- Gerenciamento de chave mais fácil É possível criptografar várias DEKs com uma chave raiz única, o que reduz a quantidade de chaves que você talvez precise gerenciar em um serviço de gerenciamento de chaves. Também é possível optar por economizar tempo na manutenção da chave, apenas girando suas chaves raiz, em vez de girar e criptografar novamente todas as suas DEKs. Observe que, em casos como a rotatividade de pessoal, o mau funcionamento do processo ou a detecção de um problema de segurança, é recomendado girar todas as DEKs e chaves raiz associadas ao incidente.
- Proteção de chave de dados Como suas DEKs são agrupadas por uma chave raiz, não é preciso se preocupar sobre como armazenar a chave de dados criptografada. Devido a isso, é possível armazenar a wDEK junto com os dados criptografados associados.
O Key Protect usa o algoritmo Advanced Encryption Standard em Galois/Counter Mode (AES GCM) para agrupar e desagrupar DEKs. Os CRKs não importados são criados com um material de chave de 256 bits. Os CRKs importados podem ter material de chave de 128, 192 ou 256 bits.
Como funciona a criptografia de envelope
A criptografia de envelope funciona usando uma chave raiz para agrupar (criptografar) uma ou mais chaves de criptografia de dados (DEKs). A chave raiz protege suas DEKs agrupadas (criptografadas) com algoritmos de criptografia, protegendo-as de acesso não autorizado ou exposição.
O desagrupamento de uma DEK reverte o processo de criptografia de envelope usando a chave raiz associada, resultando em uma DEK decriptografada e autenticada. Uma DEK agrupada não pode ser desagrupada sem a chave raiz associada, o que inclui uma camada extra de segurança em seus dados.
A criptografia de envelope é tratada rapidamente em NIST Special Publication 800-57, Recomendação para gerenciamento de chave. Para saber mais, consulte NIST SP 800-57 Pt. 1 Rev. 4..
Tipos de chave
O serviço suporta dois tipos de chave, chaves raiz e chaves padrão, para a criptografia avançada e o gerenciamento de dados.
- Chaves raiz
- As chaves raiz são os principais recursos no Key Protect. São chaves de agrupamento de chave simétrica usadas como raízes de confiança para agrupar (criptografar) e desagrupar (decriptografar) outras chaves armazenadas em um serviço de dados. As chaves raiz contêm material de chave que é usado para agrupar e desagrupar DEKs. O material da chave raiz pode ser importado ou gerado pelo serviço do Key Protect.
- Com o Key Protect, é possível criar, armazenar e gerenciar o ciclo de vida de chaves raiz para obter o controle total de outras DEKs armazenadas na nuvem. Ao contrário de uma chave padrão, a chave raiz ofa em texto simples jamais pode deixar os limites do serviço do Key Protect.
- Chaves padrão
- As chaves padrão, que podem ser usadas como DEKs, podem armazenar dados criptografados no Key Protect. Quando sua chave padrão em texto sem formatação estiver gerada e protegendo dados subjacentes, destrua o texto sem formatação e armazene a chave padrão criptografada com segurança.
Agrupando chaves com a criptografia de envelope
É possível agrupar uma ou mais DEKs com algoritmos avançados de criptografia, designando uma chave raiz em Key Protect que pode ser totalmente gerenciada por você.
Conclua as seguintes etapas para criptografar dados por meio da criptografia de envelope:
- Gere ou forneça uma DEK de um serviço do IBM Cloud, como o COS, para criptografar seus dados sensíveis. A DEK criptografará seus dados sensíveis.
- Gere ou importe uma chave raiz que será usada para proteger a DEK da etapa 1.
- Use a chave raiz para criptografar ou agrupar a DEK. Para fornecer segurança máxima de criptografia, é possível especificar dados autenticados adicionais (AAD) durante sua solicitação de agrupamento. Observe que os mesmos dados de autenticação serão necessários ao desagrupar a DEK.
- Os dados criptografados são, então, armazenados como metadados no serviço do Key Protect serviço. Armazene e mantenha a saída codificada em base64 da DEK agrupada em um local seguro, como um aplicativo ou serviço.
É possível gerar uma nova DEK omitindo a propriedade plaintext
em sua solicitação de agrupamento. A DEK recém-criada será automaticamente agrupada como parte da solicitação.
Desagrupando chaves
Decriptografar uma chave de criptografia de dados (DEK) decriptografa e autentica os dados protegidos dentro da chave.
Se o seu aplicativo de negócios precisar acessar o conteúdo de seus DEKs agrupados, você poderá usar a API Key Protect para enviar uma solicitação de desempacotamento ao serviço.
Conclua as seguintes etapas para criptografar dados por meio da criptografia de envelope:
- Recupere o texto cifrado codificado em base64 da DEK agrupada.
- Recupere o ID da chave da chave raiz que está associada à DEK.
- Faça uma solicitação de desempacotamento para Key Protect. Observe que se você especificou dados autenticados adicionais (AAD) em uma solicitação de agrupamento anterior, deverá fornecê-los em sua solicitação de desagrupamento.
- Use o texto sem formatação codificado em base64 retornado para decriptografar os dados protegidos pela DEK.
Integrando aos serviços da IBM Cloud
IBM® Key Protect for IBM Cloud® pode ser integrado a vários serviços do IBM Cloud para habilitar a criptografia com chaves gerenciadas pelo usuário para esses serviços.
A associação de um recurso do serviço de dados de nuvem a uma chave raiz no Key Protect oferece proteção para os dados inativos e permite controlar o gerenciamento da chave raiz.
Para obter mais informações sobre os serviços que oferecem integração com o Key Protect, consulte Integração de serviços.