IBM Cloud Docs
使用包络加密保护数据

使用包络加密保护数据

Key Protect 使用信封加密 以帮助保护您的 Key Protect 数据。 信封加密是用数据加密密钥对数据进行加密、 然后用根密钥对数据加密密钥进行加密。 本主题介绍 信封加密过程以及如何使用 Key Protect 对数据进行加密和解密。

在处理敏感数据时,必须使用先进的加密技术 技术来防止数据泄露。 如果您有大量机密数据、 使用密钥管理系统通常有助于确保数据安全。 Key Protect 使用信封加密技术 来保持数据的弹性。 信封加密是使用加密密钥的过程、 数据加密密钥和根密钥来保护敏感数据。

想象一下,您打算给一位同事寄一封信。 您想讨论高度敏感的信息 高度敏感的信息,因此您生成了一个秘密代码(数据加密密钥),用来编写(加密)信中的信息。 (加密)信件中的信息。 信件投递到邮箱(包裹数据加密密钥) 只有拥有邮箱密钥副本(根密钥)的人才能打开,包括同事。 任何人 没有钥匙副本的任何人都无法打开邮箱查看里面的内容。 当 当你的同事使用钥匙解锁(解除加密)邮箱时,他们需要知道信中所写的密码 才能理解信件内容。 不知道密码的人 就会得出结论,这封信是一个随机字符的混合体,无法理解信中的 内容。

Data encryption keys (DEKs) are designed to encrypt your data and can be generated and managed by your service or an IBM Cloud service.

信封加密在保护数据方面具有多种优势:

  • 多种算法组合保护 信封加密利用对称密钥和公开密钥算法的最佳优势,确保密钥安全。
    1. 对称密钥算法比公钥算法运行更快、可扩展性更强、更安全。 公钥算法 使用复杂的数学,增加了计算开销,尤其是在处理大量数据时 数据时尤其如此。 公钥算法也更容易受到暴力破解攻击,因为它有私钥算法的成分,而私钥算法的成分很容易被黑客识别。 黑客很容易识别。 对称密钥算法所需的计算能力较低,而且由于其结构不易识别,可抵御 由于结构不易识别,因此可抵御暴力攻击。
    2. 与对称密钥算法相比,公钥算法在授予个人对密钥的访问权限时更容易进行访问控制。 与对称密钥算法相比。 对称密钥算法有一个密钥交换问题,即 密钥只能通过安全传输来交换。 通过使用公钥算法、 加密的 DEK(wDEKs)可以共享,只有能够获得加密根密钥的人才能解除加密、 减轻了对称算法的密钥交换问题。
  • 更方便的密钥管理 你可以在一个单一的根密钥下加密多个 DEK,这样可以最大限度地减少你 您可能需要在密钥管理服务中管理的密钥数量。 您还可以选择只轮换根密钥,而不是轮换和重新加密所有 DEK,从而节省密钥维护时间。 轮换和重新加密所有 DEK。 请注意,在人员更替、流程故障或发现安全问题等情况下,建议轮换与事件相关的所有 DEK 和根密钥。 建议轮换与事件相关的所有 DEK 和根密钥。
  • 数据密钥保护 由于您的 DEK 由根密钥封装,因此您不必担心如何存储加密数据密钥。 因此 您可以将 wDEK 与相关加密数据一起存储。

Key Protect 使用伽罗瓦/计数器模式的高级加密标准算法(AES GCM)来封装和解封 DEK。 未导入的 CRK 使用 256 位密钥材料创建。 导入的 CRK 可以是 128、192 或 256 位密钥材料。

信封加密的工作原理

信封加密的工作原理是使用根密钥 封装(加密)一个或多个数据加密密钥 (DEK)。 根密钥保护 加密算法,防止未经授权的访问或暴露。 未经授权的访问或暴露。

通过使用相关的根密钥,解封 DEK 可以逆转信封加密过程。 根密钥,从而得到一个经过解密和验证的 DEK。 如果没有相关的根密钥 如果没有相关的根密钥,封装的 DEK 就无法解除封装。 数据的安全性。

在 NIST Special Publication 800-57 Recommendation for Key Management 中简要介绍了包络加密。 要了解更多信息,请参阅 NIST SP 800-57 Pt.

密钥类型

服务支持两种密钥类型用于数据高级加密和管理:根密钥和标准密钥。

根密钥
根键是 Key Protect. 根密钥是对称密钥打包密钥,用作对数据服务中所存储的其他密钥进行打包(加密)和解包(解密)的信任根。 根键 包含用于封装和解封 DEK 的密钥材料。 密钥 材料既可以导入,也可以由 Key Protect 服务。
通过Key Protect,您可以创建、 存储和管理根密钥的生命周期,从而实现对存储在云中的其他 存储在云中的其他 DEK。 与标准密钥不同,根密钥的明文 根密钥的明文永远不会离开 Key Protect 服务。
标准密钥
可用作 DEK 的标准密钥可将加密数据存储在 Key Protect. 一旦明文 生成并保护底层数据后,销毁明文并安全地存储加密标准密钥。 销毁明文并安全存储加密标准密钥。

用信封加密封装密钥

您可以通过以下方式用高级加密算法封装一个或多个 DEK 在 Key Protect 中指定一个根密钥。 中指定您可以完全管理的根密钥。

完成以下步骤,通过信封加密对数据进行加密:

  1. 从 IBM Cloud服务(如 COS)生成或配置 DEK、 来加密您的敏感数据。 DEK 将对你的敏感数据进行加密。
  2. 生成舶来品 根密钥,用于保护步骤 1 中的 DEK。
  3. 使用根密钥加密,或 包装 使用 DEK 加密。 DEK. 为了提供最大的加密安全性,您可以在封装请求中指定额外的 验证数据 (AAD)。 注意 请注意,解包 DEK 时也需要相同的验证数据。
  4. 加密后的数据将作为元数据存储在 Key Protect 中 服务。 将封装的 DEK 的 base64 编码输出存储并维护在安全位置、 例如应用程序或服务。

You can generate a new DEK by omitting the plaintext property in your wrap request. 新创建的 DEK 将自动封装为请求的一部分。 请求的一部分。

解包密钥

解开数据加密密钥(DEK)可解密和验证受密钥保护的数据。 保护的数据。

如果您的业务应用程序需要访问已封装 DEK 的内容、 您可以使用 Key Protect API 向服务发送 解除封装请求

完成以下步骤,通过信封加密对数据进行加密:

  1. 读取已封装 DEK 的 base64 编码密文。
  2. 读取密钥 ID 的根密钥与 DEK 关联。
  3. 向 Key Protect 发送 unwrap 请求。 请注意,如果您在之前的封装请求中指定了附加验证数据 (AAD),则必须在解除封装请求中提供该数据。 封装请求中指定了附加验证数据 (AAD),则必须在解除封装请求中提供该数据。
  4. 使用返回的base64编码明文来解密受 DEK 保护的数据。 解密。

与 IBM Cloud 服务集成

IBM® Key Protect for IBM Cloud®集成了多个 IBM Cloud服务,为这些服务启用客户管理密钥加密。 客户管理密钥进行加密。

将云数据服务中的资源与云中的根密钥关联起来 Key Protect允许在静态时保护您的数据,同时对根密钥进行管理控制。 同时对根密钥进行管理控制。

欲了解更多有关与以下服务集成的信息 Key Protect,请参阅 集成服务