Passwort2-Verschlüsselung mit Key Management Framework (KMF)

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

3 Minuten Lesedauer

Unterstützt von Key Management Framework, Verwenden Sie Password2(2-fach verschlüsselt) Feldtyp zum Verschlüsseln und Entschlüsseln anwenderdefinierter Felder mit Aufgabentrennung, Schlüsselschutz und Lebenszyklusmanagement. Es funktioniert gemäß den NIST 800-57-Richtlinien und bietet FIPS 140-2-L3-Schutz.

Password2 Ist ein Textfeld, in dem Passwörter mit bidirektionaler Verschlüsselung gespeichert werden. Die bidirektionale Verschlüsselung speichert Passwörter als sicheren verschlüsselten Wert, der innerhalb der Instanz entschlüsselt werden kann.

Tipp:

Beginnt in Vancouver Release können Administratoren die 3DES-Verschlüsselung für Passwort2-Felder zugunsten des neueren Advanced Encryption Standard (AES) als veraltet festlegen. Details finden Sie unter GlideEncrypter-Nutzung von 3DES für Passwort2-Felder als veraltet festlegen.

Aktivierung

Password2 Die Funktionalität ist standardmäßig aktiv. Sie wird von gesteuert glide.kmf.encrypter.enabledEigenschaft, die auf festgelegt ist Wahr Für alle neuen Instanzen und Upgrades. Sie müssen nicht aktivieren Feldverschlüsselung Enterprise Zu verwenden Password2.

Funktionsweise von Password2

Die Key Management Framework Stellt ein übergeordnetes kryptografisches Modul des Basissystems bereit Cm_Glide_encrypter . Dieses Modul bietet eine kryptografische Spezifikation und einen Schlüssel, der Kann Legacy entschlüsseln Password2 Felder.

Kryptografisches Modul für Passwort2. — Abbildung : 1. Kryptografisches Modul für Password2

Dieses Modul „cm_Glide_encrypter“ kann Submodule mit jeweils eigenem Modulschlüssel und eigener Spezifikation haben. Wenn ein Submodul mit demselben Anwendungsbereich wie die Anwendung vorhanden ist, in der Password2 Feld ist , verwendet das System das Submodul. Beispiel: Wenn eine Tabelle in ServiceNow® Kundenservice Die Anwendung verfügt über ein Untermodul, und Sie schreiben Informationen in ein Password2 Feld in einer Tabelle in Kundenservice Anwendungsbereich, ruft der kryptografische Prozess auf Kundenservice Submodul. Der Prozess verwendet auch den Schlüssel dieses Submoduls für die Verschlüsselung und Entschlüsselung mit einem eindeutigen AES 256 GCM-Verschlüsselungsschlüssel. Ein Submodul pro Anwendungsbereich ist zulässig. Übergeordnetes Modul wird nicht immer für den globalen Bereich verwendet. Im Allgemeinen verwenden neue Felder instance_level_Glide_encrypter.

Hinweis:

Sie können in keine eigenen Submodule erstellen Zurich. Submodule werden in verschiedenen Anwendungs-Plugins auf bereitgestellt ServiceNow AI Platform. Sie können Schlüssel in Submodulen rotieren, aber nicht das übergeordnete Modul „cm_Glide_encrypter“.

Domänentrennung und lokale Kunden

KMF Password2 Unterstützt keine Domänentrennung. Sie können verwenden Password2 Mit lokalen Instanzen.

Veraltet Password2 Und die aktuelle Password2

In Zurich, Die vorhandene Password2 Feld wurde aktualisiert.

Die aktuelle Implementierung von Password2:

Verwendet Key Management Framework In Übereinstimmung mit NIST 800-57 Richtlinien für Schlüsselumschließungen und -Bereitstellungen FIPS 140-2-L3 Schutz für die gesamte Schlüsselhierarchie.
Enthält Fähigkeiten zum Erstellen dedizierter und eindeutiger Elemente KMF Password2 Submodule für bestimmte Anwendungen, die Kontrolle über den Anwendungsbereich bieten. Jedes Submodul verfügt über einen eigenen eindeutigen AES 256 GCM-Verschlüsselungsschlüssel.

Passwort2-Felder in Skripts

Beim Zugriff auf Password2 Felder mit einem Skript: Führen Sie das Skript unter demselben Umfang wie der Tabellenbereich aus. Verwenden SetDisplayValue() Zum Verschlüsseln Password2 Werte und GetDecryptedValue() Zum Entschlüsseln und Lesen des Werts.

Hinweis:

Verwenden Sie nicht GlideEncrypter() API auf Password2 Felder.

Dieses Beispielskript zeigt Ihnen, wie Sie verschlüsseln Mein@Passwort In der Spalte „Passwort2“ der Tabelle „table_XYZ“.


var  gr =  new GlideRecord(‘table_xyz’);
gr.pwd2column_name.setDisplayValue('my@Password');
 
gr.insert();

Wichtig:

Sie können nicht verwenden SetValue() API für Password2 Feld.

Dieses Beispielskript zeigt, wie Sie dasselbe Feld entschlüsseln, um den Wert abzurufen:


var  gr =  new GlideRecord(‘table_xyz’);
gr.query();
gr.next();
var ge=gr.getElement('pwd2column_name');
var ged1 = ge.getDecryptedValue();

Wichtig:

Die GetDecryptedValue() API ist nicht im Bereich enthalten. Es ist global verfügbar.

Wenn Sie Daten in einem verschlüsseln Password2 Feld bestimmt das System den Umfang der Anwendung, in der Password2 Feld befindet sich.
Das System sucht dann nach einem Untermodul von Cm_Glide_encrypter Übergeordnetes Modul mit demselben Umfang wie die Anwendung, wenn die Eigenschaft auf festgelegt ist true.
Hinweis:
Wenn ein Submodul mit demselben Umfang vorhanden ist, verwendet es die Submodulspezifikation und den Schlüssel, um die Verschlüsselung durchzuführen.

Diese Abbildung erklärt, wie Ihre Instanz Daten in entschlüsselt Password2 Felder:

Passwort2-Entschlüsselungs-Flow. — Abbildung : 2. Passwort2-Entschlüsselungs-Flow

KMF Password2 Migrationsauftrag

Für Kunden, die ein Upgrade von vorherigen Releases durchführen, wird ein Migrationsauftrag bereitgestellt. Es werden Daten verwendet, die mit einem Legacy verschlüsselt sind Password2 Verschlüsselung und erneute Verschlüsselung mit dem Schlüssel in einem KMF Password2 Submodulschlüssel. Die erneute Verschlüsselung gilt nur für Tabellen mit Password2 Felder in Anwendungsbereichen, für die auch Submodule für diesen Bereich erstellt wurden. Zum Beispiel ein Legacy Password2 Feld in XYZ_example Anwendung (mit XYZ_example Anwendungsbereich) wird nur dann erneut verschlüsselt, wenn ein Submodul für den vorhanden ist XYZ_example Anwendungsbereich ist unter dem übergeordneten Modul „cm_Glide_encrypter“ vorhanden.

Die KMF Password2 Verschlüsselungsschlüssel im Submodul sind in geschützt (Umschlag verschlüsselt) KMF Schlüsselhierarchie.