Clés au niveau de l’instance dans le cadre de travail de gestion des clés
Découvrez la structure de clé (KMF), qui utilise le Cadre de travail de gestion des clés chiffrement d’enveloppe pour garantir que toutes les clés de plateforme gérées KMF sont protégées par une chaîne de clés. Les clés de chiffrement des données client (CDEK) créées par KMF sont également incluses dans cette structure
.
Architecture de stockage de clés KMF
La KMF structure de clés utilise le module de sécurité matériel (HSM) SafeNet KeySecure. Le HSM est conçu pour être physiquement et électroniquement inviolable afin de répondre à la norme de sécurité FIPS 140-2-L3. KMF utilise le chiffrement d’enveloppe pour s’assurer que toutes les clés de plateforme sous KMF gestion sont protégées par une chaîne de clés, y compris les clés de module qui peuvent être générées par KMF.
Chiffrement de l’enveloppe
Le chiffrement d’enveloppe est la pratique consistant à chiffrer une clé avec une autre clé, également appelée enveloppement. Les clés de module sont chiffrées par la clé de chiffrement de clé d’instance (IKEK), qui à son tour est chiffrée par la clé racine d’instance (IRK), qui est enfin chiffrée par la clé racine (RK). Étant donné que l’IRK n’est accessible que par le HSM, l’IKEK doit être téléchargé pour le déchiffrement.
Au niveau de l’instance, KMF définit plusieurs clés qui sont utilisées en interne à des fins cryptographiques diverses dans l’ensemble de la ServiceNow AI Platform.
Ce tableau fournit des exemples d’un sous-ensemble de clés disponibles qui sont gérées et protégées par KMF.
| Clé | Emplacement | Description |
|---|---|---|
| Clé racine (RK) | Modèle de sécurité matérielle (HSM) | Clé racine utilisée pour déchiffrer l’IRK. |
| Clé racine d’instance (IRK) | HSM | Une clé unique à votre instance qui est utilisée pour chiffrer dans une enveloppe plusieurs clés internes d’instance. |
| Clé HMAC d’instance (IHK) | Instance | Unique par instance, l’IHK est utilisé en interne à des fins de code d’authentification de message basé sur le hachage (HMAC). La IHK permet de vérifier l’authenticité et l’intégrité des clés de module et est encapsulée dans KeySecure ou dans le magasin de clés de fichier. |
| Clé de chiffrement de clé d’instance (IKEK) | Instance |
L’IKEK encapsule les clés du module et est encapsulé dans KeySecure ou dans le magasin de clés de fichier. |
| Clé de chiffrement asymétrique d’instance (IAEK) | Instance | Clé unique à votre instance qui est utilisée en interne à des fins de chiffrement asymétrique. L’IAEK est utilisé pour transmettre des messages confidentiels entre une instance pendant ou Réplication de données d'instance l’approbation Key Exchange du consommateur. |
| Clé de signature d’instance (ISK) | Instance | Une clé unique à votre instance qui est utilisée en interne à des fins de signature. |
| Password2 (PW2) | Instance | Avec KMF, la clé pour PW2 les champs est entièrement gérée par KMF. |
| Clé de chiffrement des données client (CDEK) | Instance | Les clés de chiffrement créées par l’intermédiaire KMF sont cryptées par enveloppe par l’IKEK. |
| Réplication de données d’instance (IDR) Clé de chiffrement des données (DEK) | Instance | Clés de chiffrement spécifiques utilisées pour le processus IDR. |