GlideEncrypter-Nutzung von 3DES für Passwort2-Felder veraltet
Stellen Sie sicher, dass Ihre Instanz ausschließlich den sichereren Advanced Encryption Standard (AES) für die Verschlüsselung und Entschlüsselung Ihrer Password2-Daten verwendet.
Ab Romewerden Passwort2-Daten mit Key Management Frameworkgeschützt, der den moderneren AES-Algorithmus (Advanced Encryption Standard) verwendet. Einige Konfigurationen und Fallbacks in Passwort2-Logik können jedoch weiterhin den 3DES-Algorithmus zur Verschlüsselung und Entschlüsselung verwenden.
Im Release Vancouver können Administratoren den 3DES-Algorithmus vollständig einstellen. Nach Abschluss dieser Änderung verwendet Ihre Instanz ausschließlich die AES-Verschlüsselung für alle Verschlüsselungs- und Entschlüsselungsaufgaben im Zusammenhang mit Passwort2-Daten. Diese Änderung bietet eine bessere Instanzsicherheit als die 3DES-Verschlüsselung und ist erforderlich, um NIST-konform zu bleiben.
Überlegungen vor der Einstellung
- Übertragen von Passwort2-Daten zwischen Instanzen
Wenn Sie mit Passwort2 verschlüsselte Texte an andere Instanzen übertragen, müssen Sie sicherstellen, dass KMF Key Exchange zwischen Quell- und Zielinstanzen aktiviert ist. Diese Konfiguration stellt sicher, dass die zum Verschlüsseln von Passwort2-Texten verwendeten Schlüssel in beiden Instanzen zum Entschlüsseln der mit Passwort2 verschlüsselten Texte verfügbar sind. Berücksichtigen Sie vor der Einstellung von 3DES die folgenden Anwendungsfälle, die sich auf Passwort2-Daten zwischen Instanzen auswirken können.
- Wenn sich in Ihrer Instanz Anwendungen befinden, die Passwort2-Daten verwenden, stellen Sie sicher, dass KMF Ressourcenaustausch in dieser Instanz installiert ist. KMF Ressourcenaustausch stellt sicher, dass Schlüssel auf Instanzebene, die zum Verschlüsseln der password2-Daten in der Quellinstanz verwendet werden, in den Zielinstanzen zur Entschlüsselung verfügbar sind. Weitere Informationen finden Sie unter Key Management Framework Ressourcenaustausch.
- Wenn Sie password2-Daten über XML oder Datenquellen exportieren möchten, stellen Sie sicher, dass für die Zielinstanz KMF Key Exchange aktiviert ist. Diese Konfiguration stellt sicher, dass die Schlüssel auf Instanzebene, die zum Verschlüsseln der password2-Daten in der Quellinstanz verwendet werden, in den Zielinstanzen zur Entschlüsselung verfügbar sind. Weitere Informationen zu dieser Konfiguration finden Sie unter Key Management Framework Schlüsselaustausch.Wichtig:Die obigen Beispiele zeigen häufigere Szenarien. Wenn Sie jedoch mit Passwort2 verschlüsselten Text auf andere Weise zwischen Instanzen übertragen, müssen Sie KMF Ressourcenaustausch konfigurieren, um sicherzustellen, dass die Zielinstanz Passwort2-Daten entschlüsseln kann.
- Downgrade einer Instanz nach der 3DES-Einstellung
Folgendes gilt nur für Instanzen mit password2-Feldern mit Eingabelängen von mehr als 125 Zeichen, und Sie haben die 3DES-Verschlüsselung bereits veraltet.
Führen Sie die folgenden Schritte aus, bevor Sie den Klon initiieren, um ein Downgrade einer Instanz auf einen früheren Release als Vancouver durchzuführen.
- Überprüfen Sie, ob die Datenerhaltung so konfiguriert ist, dass die Daten im Passwort2-Feld erhalten bleiben.
- Wenn ja, wenden Sie sich vor der Anforderung eines Klons an den ServiceNow -Support, um die 3DES-Einstellung zu deaktivieren. Verwenden Sie im Feld Grund die Option „Klon-Downgrade erforderlich für Passwort2-Support“.
- Veraltete password2-Felder
Ihre Instanz verwendet die 3DES-Verschlüsselung, um Passwort2-Daten in veraltete Passwort2-Daten (vorRome) zu konvertieren. Nach der Einstellung der Unterstützung der 3DES-Verschlüsselung ist diese Option nicht mehr verfügbar. Wenn Sie diese Funktion weiterhin benötigen, fordern Sie die teilweise Einstellung an (Details finden Sie im nächsten Abschnitt).
Vorgehensweise zur Einstellung der Unterstützung von 3DES
Nachdem Sie die vorherigen Anwendungsfälle überprüft haben, aktivieren Sie je nach Bedarf entweder die teilweise oder vollständige Einstellung. Bei beiden Optionen können Sie auf das Formular zugreifen, um die Einstellung zu steuern, indem Sie zu navigieren .
Das Formular „Passwort2-Dreifach-DES-Veraltung“ enthält Informationen zum Prozess für die vollständige und teilweise 3DES-Einstellung. Wählen Sie die Optionen für die vollständige oder teilweise Einstellung aus, und klicken Sie auf Speichern.
- Vollständige Einstellung
- Wenn Sie die vollständige Einstellung aktivieren, wird die Verwendung von 3DES für alle Passwort2-Felder in Ihrer Instanz entfernt. Wenn alle Voraussetzungen erfüllt sind, gibt es keine Konfigurationen oder Szenarien, in denen 3DES in Passwort2-Feldern verwendet wird.
- Teilweise Einstellung
- Wenn Sie die teilweise Einstellung aktivieren, wird die Verwendung von 3DES für alle Passwort2-Felder mit Ausnahme der in Vorgängerversionen konfigurierten Felder entfernt. Die Legacy-Konfiguration für password2-Felder verwendet weiterhin die 3DES-Verschlüsselung. Wählen Sie diese Option nur aus, wenn Sie 3DES für in Vorgängerversionen konfigurierte Felder weiterhin verwenden müssen.
Nach Einstellung der Unterstützung von GlideEncrypter
- password2-Felder unterstützen weiterhin die Entschlüsselung (aber keine Verschlüsselung) von mit 3DES verschlüsselten Daten.
- Vorhandene mit 3DES verschlüsselte Daten in Passwort2-Feldern bleiben unverändert, bis der Feldwert von einem Benutzer oder Workflow aktualisiert wird.
- Bei jeder Aktualisierung des Werts eines password2-Felds wird 3DES-verschlüsselter Text entfernt und durch den von KMF mit AES verschlüsselten Text ersetzt.
- In einigen Situationen zeigt Ihre Instanz beim Speichern der Passwortdaten möglicherweise einen Fehler an:
Aktion abgebrochen: Der Passwortwert kann aufgrund eines technischen Problems nicht gespeichert werden. Weitere Informationen finden Sie in KB1296997.
Wenn dieser Fehler angezeigt wird, finden Sie weitere Informationen im Knowledge Base-Artikel KB1296997.