Schlüssel auf Instanzebene im Schlüsselverwaltungs-Framework

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Die Key Management Framework( KMF) Architektur führt eine Schlüsselstruktur ein, die mit Blick auf Sicherheit erstellt wurde. Mithilfe eines Hardware-Sicherheitsmoduls (HSM) KMFVerwendet Umschlagverschlüsselung, um sicherzustellen, dass alle Plattformschlüssel unter KMFDie Verwaltung wird durch eine Schlüsselkette geschützt. Kundendaten-Verschlüsselungsschlüssel (CDEKs) erstellt von KMFSind ebenfalls enthalten.

    Auf Instanzebene KMFDefiniert mehrere Schlüssel, die intern für unterschiedliche kryptografische Zwecke in verwendet werden Now Platform.

    Umschlagverschlüsselung ist die Praxis, einen Schlüssel mit einem anderen Schlüssel zu verschlüsseln. Die folgende Abbildung zeigt ein Beispiel für die Umschlagverschlüsselung. Hier werden CDEKs vom IKEK-Umschlag verschlüsselt, der wiederum vom IRK-Umschlag verschlüsselt wird, der schließlich vom RK-Umschlag verschlüsselt wird. Da auf das IRK nur vom HSM zugegriffen werden kann, muss das IKEK zur Entschlüsselung hochgeladen werden.

    Diese Tabelle enthält Beispiele für eine Teilmenge verfügbarer Kunden-/App-Schlüssel, die von verwaltet und geschützt werden KMF.

    Key Standort Beschreibung
    Stammschlüssel (RK) Hardware-Sicherheitsmodell (HSM) Stammschlüssel, der zum Entschlüsseln des IRK verwendet wird.
    Instanz-Stammschlüssel (IRK) HSM Ein eindeutiger Schlüssel für Ihre Instanz, der zum Umschlag für die Verschlüsselung mehrerer interner Instanzschlüssel verwendet wird.
    Instanz-HMAC-Schlüssel (IHK) Instanz IHK ist pro Instanz eindeutig und wird intern für Zwecke des Hash-basierten Nachrichtenauthentifizierungscodes (HMAC) verwendet.

    IHK hilft bei der Überprüfung der Authentizität und Integrität von Modulschlüsseln und wird entweder in KeySecure oder im Dateischlüsselspeicher eingeschlossen.
    Instanzschlüssel-Verschlüsselungsschlüssel (IKEK) Instanz

    Das IKEK umschließt die Modulschlüssel und wird entweder in „KeySecure“ oder „Dateischlüsselspeicher“ eingeschlossen.
    Asymmetrischer Verschlüsselungsschlüssel für Instanz (IAEK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern für asymmetrische Verschlüsselungszwecke verwendet wird.

    Das IAEK wird verwendet, um vertrauliche Nachrichten zwischen einer Instanz während zu übertragen Key ExchangeOder Instanzübergreifende DatenreplikationVerbrauchergenehmigung.
    Instanzsignaturschlüssel (ISK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern zu Signaturzwecken verwendet wird.
    Password2 (PW2) Instanz Mit KMF, Der Schlüssel für PW2Felder werden vollständig von verwaltet KMF.
    Kundendaten-Verschlüsselungsschlüssel (CDEK) Instanz Verschlüsselungsschlüssel erstellt durch KMFWerden vom IKEK-Umschlag verschlüsselt.
    Datenverschlüsselungsschlüssel für Instanzdatenreplikation (IDR) (DEK) Instanz Bestimmte Verschlüsselungsschlüssel, die für den IDR-Prozess verwendet werden.