Clés de niveau instance dans Key Management Framework

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • L’architecture Key Management Framework (KMF) introduit une structure clé construite dans un souci de sécurité. À l’aide d’un module de sécurité matériel (HSM), KMF utilise le chiffrement d’enveloppe pour s’assurer que toutes les clés de plateforme gérées KMF sont protégées par une chaîne de clés. Les clés de chiffrement des données client (CDEK) créées par KMF sont également incluses.

    Au niveau de l’instance, KMF définit plusieurs clés qui sont utilisées en interne à des fins de chiffrement variables tout au long du Now Platform.

    Le chiffrement d’enveloppe est la pratique consistant à chiffrer une clé avec une autre clé. La figure suivante fournit un exemple de chiffrement d’enveloppe. Ici, les CDEK sont cryptés par l’enveloppe par l’IKEK, qui à son tour est une enveloppe cryptée par l’IRK, qui est finalement une enveloppe cryptée par le RK. Étant donné que l’IRK n’est accessible que par le HSM, l’IKEK doit être téléchargé pour le déchiffrement.

    Cette table fournit des exemples d’un sous-ensemble de clés client/d’application disponibles qui sont gérées et protégées par KMF.

    Clé Emplacement Description
    Clé racine (RK) Modèle de sécurité matériel (HSM) Clé racine utilisée pour déchiffrer l’IRK.
    Clé racine d’instance (IRK) HSM Clé unique à votre instance qui est utilisée pour chiffrer l’enveloppe de plusieurs clés internes d’instance.
    Clé HMAC d’instance (IHK) Instance Unique par instance, l’IHK est utilisé en interne à des fins de code d’authentification de message basé sur le hachage (HMAC).

    L’IHK permet de garantir l’authenticité et l’intégrité des clés de module et est encapsulé soit dans KeySecure, soit dans le magasin de clés de fichier.
    Clé de chiffrement de clé d’instance (IKEK) Instance

    L’IKEK englobe les clés du module et est encapsulé soit sur KeySecure, soit sur le magasin de clés de fichier.
    Clé de chiffrement asymétrique d’instance (IAEK) Instance Clé unique à votre instance qui est utilisée en interne à des fins de chiffrement asymétrique.

    L’IAEK est utilisé pour transmettre des messages confidentiels entre une instance pendant ou Réplication de données d'instance l’approbation Key Exchange du consommateur.
    Clé de signature d’instance (ISK) Instance Une clé unique à votre instance qui est utilisée en interne à des fins de signature.
    Password2 (PW2) Instance Avec KMF, la clé des PW2 champs est entièrement gérée par KMF.
    Clé de chiffrement des données client (CDEK) Instance Les clés de chiffrement créées sont KMF cryptées par enveloppe par l’IKEK.
    Réplication de données d’instance (IDR) Clé de chiffrement des données (DEK) Instance Clés de chiffrement spécifiques utilisées pour le processus IDR.