Clés au niveau de l’instance dans Key Management Framework

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • L’architecture Key Management Framework (KMF) introduit une structure clé conçue dans un souci de sécurité. L’utilisation d’un module de sécurité matériel (HSM) KMF utilise le chiffrement d’enveloppe pour garantir que toutes les clés de plateforme gérées KMF sont protégées par une chaîne de clés. Les clés de chiffrement des données client (CDEK) créées par KMF sont également incluses.

    Au niveau de l’instance, KMF définit plusieurs clés qui sont utilisées en interne à des fins de chiffrement variables tout au long du Now Platform.

    Le chiffrement d’enveloppe consiste à chiffrer une clé avec une autre clé. La figure suivante fournit un exemple de chiffrement d’enveloppe. Ici, les CDEK sont chiffrés par l’enveloppe par l’IKEK, qui à son tour est l’enveloppe cryptée par l’IRK, qui est finalement l’enveloppe cryptée par le RK. Étant donné que l’IRK n’est accessible que par le HSM, l’IKEK doit être téléchargé pour le déchiffrement.

    Ce tableau fournit des exemples d’un sous-ensemble de clés client/d’application disponibles qui sont gérées et protégées par KMF.

    Clé Emplacement Description
    Clé racine (RK) Modèle de sécurité matérielle (HSM) Clé racine utilisée pour déchiffrer l’IRK.
    Clé racine d’instance (IRK) HSM Clé propre à votre instance qui est utilisée pour chiffrer plusieurs clés internes d’instance.
    Clé HMAC d’instance (IHK) Instance Unique par instance, l’IHK est utilisé en interne à des fins de code d’authentification de message basé sur le hachage (HMAC).

    L’IHK permet de garantir l’authenticité et l’intégrité des clés de module et est encapsulé dans KeySecure ou le magasin de clés de fichier.
    Clé de chiffrement de clé d’instance (IKEK) Instance

    L’IKEK encapsule les clés du module et est encapsulé soit dans KeySecure, soit dans le magasin de clés de fichier.
    Clé de chiffrement asymétrique d’instance (IAEK) Instance Clé unique à votre instance qui est utilisée en interne à des fins de chiffrement asymétrique.

    L’IAEK est utilisé pour transmettre des messages confidentiels entre une instance pendant Key Exchange ou Réplication de données d'instance l’approbation du consommateur.
    Clé de signature d’instance (ISK) Instance Clé unique à votre instance qui est utilisée en interne à des fins de signature.
    Password2 (PW2) Instance Avec KMF, la clé des PW2 champs est entièrement gérée par KMF.
    Clé de chiffrement des données client (CDEK) Instance Les clés de chiffrement créées sont KMF chiffrées par enveloppe par l’IKEK.
    Réplication de données d’instance (IDR) Clé de chiffrement des données (DEK) Instance Clés de chiffrement spécifiques utilisées pour le processus IDR.