Déconseiller l’utilisation de 3DES par GlideEncrypter pour les champs password2
Déconseiller l’utilisation de la norme de chiffrement 3DES par GlideEncrypter sur votre instance. Assurez-vous que votre instance utilise la norme AES (Advanced Encryption Standard) plus sécurisée exclusivement pour le chiffrement et le déchiffrement de vos données Password2.
À partir de Rome, les données password2 sont protégées à l’aide de , Key Management Frameworkqui utilise l’algorithme AES (Advanced Encryption Standard) plus moderne. Toutefois, certaines configurations et secours dans la logique password2 peuvent toujours utiliser l’algorithme 3DES pour le chiffrement et le déchiffrement.
Dans cette Vancouver version, les administrateurs peuvent choisir de déconseiller entièrement l’algorithme 3DES. Une fois cette modification effectuée, votre instance utilise le chiffrement AES exclusivement pour toutes les tâches de chiffrement et de déchiffrement relatives aux données password2. Ce changement offre une meilleure sécurité d’instance que le chiffrement 3DES et est nécessaire pour rester conforme au NIST.
Considérations avant l’obsolescence
- Transfert des données password2 entre les instances
Lors du transfert de textes chiffrés password2 vers d’autres instances, vous devez vous assurer que cette option KMF Key Exchange est activée entre les instances source et cible. Cette configuration garantit que les clés utilisées pour chiffrer les textes password2 sont disponibles sur les deux instances pour déchiffrer les textes chiffrés password2. Avant de déconseiller 3DES, prenez en compte les cas d’utilisation suivants qui peuvent avoir un impact sur les données password2 entre les instances.
- Si vous avez des applications sur votre instance qui utilisent des données password2, assurez-vous qu’elles KMF Resource Exchange sont installées sur cette instance. KMF Resource Exchange Garantit que les clés de niveau instance utilisées pour chiffrer les données password2 sur l’instance source sont disponibles sur les instances cibles pour le déchiffrement. Pour plus d'informations, consultez Échange de ressources du cadre de travail de gestion des clés.
- Si vous prévoyez d’exporter des données password2 via XML ou des sources de données, assurez-vous que l’instance cible est KMF Key Exchange activée. Cette configuration garantit que les clés au niveau de l’instance utilisées pour chiffrer les données password2 sur l’instance source sont disponibles sur les instances cibles pour le déchiffrement. Pour en savoir plus sur cette configuration, reportez-vous à la section Échange de clés du cadre de travail de gestion de clés.Important :Les exemples ci-dessus sont des scénarios plus courants, mais si vous utilisez d’autres moyens pour transférer du texte chiffré password2 entre des instances, vous devez configurer KMF Resource Exchange pour vous assurer que l’instance cible peut déchiffrer les données password2.
- Passage à une version antérieure d’une instance après l’obsolescence de 3DES
Ce qui suit s’applique uniquement aux instances dont les champs password2 ont des longueurs d’entrée supérieures à 125 caractères et dont vous avez déjà déconseillé le chiffrement 3DES.
Pour passer à une version antérieure à une instance afin de la publier avant le clonage d’instance Vancouver , procédez comme suit avant de lancer le clone.
- Vérifiez si la conservation des données est configurée pour préserver les données du champ password2.
- Si c’est le cas, contactez ServiceNow le support technique avant de demander un clone. Dans le champ Motif , utilisez « Cloner les conditions préalables à la prise en charge de password2 ».
- Champs password2 hérités
Votre instance utilise le chiffrement 3DES pour convertir les données password2 en données (pré-Rome)password2 héritées. Après l’obsolescence du chiffrement 3DES, cette option n’est plus disponible. Si vous avez toujours besoin de cette fonctionnalité, demandez l’obsolescence partielle (voir les détails dans la section suivante).
Comment déconseiller 3DES
Une fois que vous avez examiné les cas d’utilisation précédents, activez l’obsolescence partielle ou totale en fonction de vos besoins. Pour l’une ou l’autre option, vous pouvez accéder au formulaire pour contrôler l’obsolescence en accédant à .
Le formulaire de dépréciation de Triple DES de Password2 contient des informations sur le processus d’obsolescence complète et partielle de 3DES. Sélectionnez les options d’obsolescence totale ou partielle, puis sélectionnez Enregistrer.
- Dépréciation complète
- L’activation de l’obsolescence complète supprime l’utilisation de 3DES pour tous les champs password2 dans votre instance. Si toutes les conditions préalables sont remplies, il n’y a pas de configuration ou de scénarios où 3DES est utilisé dans les champs password2.
- Dépréciation partielle
- L’activation de l’obsolescence partielle supprime l’utilisation de 3DES pour tous les champs password2, à l’exception des champs configurés hérités. Les champs password2 de configuration hérités continuent d’utiliser le chiffrement 3DES. Sélectionnez cette option uniquement si vous devez continuer à utiliser 3DES pour les champs configurés hérités.
Après l’obsolescence de GlideEncrypter
- Les champs password2 prennent toujours en charge le déchiffrement (mais pas le chiffrement) des données chiffrées 3DES.
- Les données chiffrées 3DES existantes dans les champs password2 restent telles quelles jusqu’à ce que la valeur du champ soit mise à jour par un utilisateur ou un workflow.
- Toute mise à jour de la valeur d’un champ password2 supprime le texte chiffré 3DES et le remplace par le texte chiffré à KMF l’aide d’AES.
- Dans certains cas, votre instance peut afficher une erreur lors de l’enregistrement des données de mot de passe :
Action abandonnée : la valeur du mot de passe ne peut pas être enregistrée en raison d’un problème technique. Veuillez consulter KB1296997 pour obtenir de l’aide.
Si cette erreur s’affiche, reportez-vous aux informations d’assistance de l’article KB1296997 de la base de connaissances.