Schlüssel auf Instanzebene im Key Management Framework

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Key Management Framework (KMF)-Architektur führt eine Schlüsselstruktur ein, die unter Berücksichtigung der Sicherheit entwickelt wurde. Mit einem Hardware-Sicherheitsmodul (HSM) verwendet KMF eine Umschlagverschlüsselung, um sicherzustellen, dass alle Plattformschlüssel unter der Verwaltung von KMF durch eine Schlüsselkette geschützt sind. Von KMF erstellte Kundendaten-Verschlüsselungsschlüssel (Customer Data Encryption Keys, CDEKs) sind ebenfalls enthalten.

    Auf Instanzebene definiert KMF mehrere Schlüssel, die intern für unterschiedliche kryptografische Zwecke in Now Platformverwendet werden.

    Bei der Umschlagverschlüsselung wird ein Schlüssel mit einem anderen Schlüssel verschlüsselt. Die folgende Abbildung zeigt ein Beispiel für die Umschlagverschlüsselung. Hier werden CDEKs vom IKEK mit einem Umschlag verschlüsselt, der wiederum vom IRK mit einem Umschlag verschlüsselt wird, der schließlich vom RK mit einem Umschlag verschlüsselt wird. Da nur vom HSM auf den IRK zugegriffen werden kann, muss der IKEK zur Entschlüsselung hochgeladen werden.

    Diese Tabelle enthält Beispiele für eine Teilmenge der verfügbaren Kunden-/App-Schlüssel, die von KMFverwaltet und geschützt werden.

    Schlüssel Standort Beschreibung
    Stammschlüssel (RK) Hardware-Sicherheitsmodell (HSM) Stammschlüssel, der zum Entschlüsseln des IRK verwendet wird.
    Instanzstammschlüssel (IRK) HSM Ein für Ihre Instanz eindeutiger Schlüssel, der zum Verschlüsseln mehrerer interner Schlüssel der Instanz verwendet wird.
    Instanz-HMAC-Schlüssel (IHK) Instanz Eindeutig pro Instanz. Der IHK wird intern für HMAC-Zwecke (Hash-Based Message Authentication Code) verwendet.

    Der IHK trägt zur Sicherstellung der Authentizität und Integrität von Modulschlüsseln bei und wird entweder in KeySecure oder den Dateischlüsselspeicher eingeschlossen.
    Instance Key Encryption Key (IKEK) Instanz

    Der IKEK umschließt die Modulschlüssel und wird entweder in KeySecure oder den Dateischlüsselspeicher eingeschlossen.
    Asymmetrischer Instanzverschlüsselungsschlüssel (IAEK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern für asymmetrische Verschlüsselungszwecke verwendet wird.

    Die IAEK wird verwendet, um vertrauliche Nachrichten zwischen einer Instanz während der Verbrauchergenehmigung von Key Exchange oder Instanzübergreifende Datenreplikation zu übertragen.
    Instanzsignaturschlüssel (ISK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern zum Signieren verwendet wird.
    Password2 (PW2) Instanz Mit KMFwird der Schlüssel für Felder von [ PW2 vollständig von KMFverwaltet.
    Verschlüsselungsschlüssel für Kundendaten (CDEK) Instanz Mit KMF erstellte Verschlüsselungsschlüssel werden vom IKEK mit einem Umschlag verschlüsselt.
    Instanzdatenreplikation (IDR) Datenverschlüsselungsschlüssel (DEK) Instanz Spezifische Verschlüsselungsschlüssel, die für den IDR-Prozess verwendet werden.