Schlüssel auf Instanzebene im Key Management Framework

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Die Architektur Key Management Framework (KMF) führt eine Schlüsselstruktur ein, die unter Berücksichtigung der Sicherheit entwickelt wurde. KMF verwendet ein Hardware Security Module (HSM) und nutzt eine Umschlagverschlüsselung, um sicherzustellen, dass alle Plattformschlüssel unter der Verwaltung von KMF durch eine Schlüsselkette geschützt sind. Von KMF erstellte Kundendaten-Verschlüsselungsschlüssel (Customer Data Encryption Keys, CDEKs) sind ebenfalls enthalten.

    Auf Instanzebene definiert KMF mehrere Schlüssel, die intern für unterschiedliche kryptografische Zwecke im gesamten Now Platformverwendet werden.

    Bei der Umschlagverschlüsselung wird ein Schlüssel mit einem anderen Schlüssel verschlüsselt. Die folgende Abbildung zeigt ein Beispiel für die Umschlagverschlüsselung. Hier werden CDEKs vom IKEK umschlagverschlüsselt, der wiederum vom IRK umschlagverschlüsselt wird, das schließlich vom RK umschlagverschlüsselt wird. Da auf die IRK nur vom HSM zugegriffen werden kann, muss das IKEK zur Entschlüsselung hochgeladen werden.

    Diese Tabelle enthält Beispiele für eine Teilmenge der verfügbaren Kunden-/App-Schlüssel, die von KMFverwaltet und geschützt werden.

    Key Standort Beschreibung
    Stammschlüssel (RK) Hardwaresicherheitsmodell (HSM) Stammschlüssel, der zum Entschlüsseln der IRK verwendet wird.
    Instanz-Stammschlüssel (IRK) HSM Ein für Ihre Instanz eindeutiger Schlüssel, der zum Verschlüsseln mehrerer interner Schlüssel der Instanz verwendet wird.
    HMAC-Schlüssel der Instanz (IKS) Instanz Der pro Instanz eindeutige IIKK wird intern für HMAC-Zwecke (Hash-Based Message Authentication Code) verwendet.

    Die IKS trägt dazu bei, die Authentizität und Integrität von Modulschlüsseln sicherzustellen, und ist entweder in KeySecure oder im Dateischlüsselspeicher enthalten.
    Verschlüsselungsschlüssel des Instanzschlüssels (IKEK) Instanz

    Das IKEK umschließt die Modulschlüssel und wird entweder von KeySecure oder dem Dateischlüsselspeicher umschlossen.
    Asymmetrischer Verschlüsselungsschlüssel der Instanz (IAEK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern für asymmetrische Verschlüsselungszwecke verwendet wird.

    IAEK wird verwendet, um vertrauliche Nachrichten zwischen einer Instanz während der Verbrauchergenehmigung für Key Exchange oder Instanzübergreifende Datenreplikation zu übertragen.
    Instanzsignaturschlüssel (ISK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern zum Signieren verwendet wird.
    Password2 (PW2) Instanz Mit KMFwird der Schlüssel für die Felder PW2 vollständig von KMFverwaltet.
    Kundendaten-Verschlüsselungsschlüssel (CDEK) Instanz Über KMF erstellte Verschlüsselungsschlüssel werden vom IKEK umschlagverschlüsselt.
    Datenverschlüsselungsschlüssel der Instanzdatenreplikation (IDR) Instanz Spezifische Verschlüsselungsschlüssel, die für den IDR-Prozess verwendet werden.