Chiffrement Password2 avec Key Management Framework (KMF)

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Pris en charge par , utilisez le type de champ (chiffré dans les Cadre de travail de gestion des clés deux sens) pour chiffrer et déchiffrer les Password2 champs personnalisés avec la séparation des tâches, la protection des clés et la gestion du cycle de vie. Il fonctionne conformément aux directives NIST 800-57 et offre une protection FIPS 140-2-L3.

    Password2 est un champ de texte qui stocke les mots de passe avec un chiffrement bidirectionnel. Le chiffrement bidirectionnel stocke les mots de passe sous la forme d’une valeur chiffrée sécurisée qui peut être déchiffrée au sein de l’instance.

    Conseil :
    À partir de la version, les Vancouver administrateurs peuvent déconseiller le chiffrement 3DES sur les champs password2 en faveur du nouveau AES (Advanced Encryption Standard). Pour plus de détails, voir Déconseiller l’utilisation de GlideEncrypter de 3DES pour les champs password2.

    Activation

    Password2 La fonctionnalité est active par défaut. Il est contrôlé par la glide.kmf.encrypter.enabled propriété, qui est définie sur vrai pour toutes les nouvelles instances et mises à niveau. Vous n’avez pas besoin d’activer Chiffrement de champ Enterprise pour utiliser Password2.

    Mode de fonctionnement de Password2

    Le Cadre de travail de gestion des clés fournit un module cryptographique parent du système de base cm_glide_encrypter. Ce module fournit une spécification cryptographique et une clé permettant de déchiffrer les champs hérités Password2 .

    Figure 1. Module cryptographique pour Password2
    Module cryptographique pour Password2.

    Ce module cm_glide_encrypter peut avoir des sous-modules, chacun ayant sa propre clé de module et spécification. Si un sous-module est présent avec le même périmètre d’application que l’application où se trouve le Password2 champ, le système utilise le sous-module. Par exemple, si une table de l’application ServiceNow® Service client comporte un sous-module et que vous écrivez des informations dans un Password2 champ d’une table du périmètre de l’application Service client , le processus cryptographique appelle le Service client sous-module. Le processus utilise également la clé de ce sous-module pour le chiffrement et le déchiffrement avec une clé de chiffrement AES 256 GCM unique. Un sous-module par périmètre de l’application est autorisé. Le module parent n’est pas toujours utilisé pour le champ d’application global. Généralement, les nouveaux champs utilisent instance_level_glide_encrypter.

    Remarque :
    Vous ne pouvez pas créer vos propres sous-modules dans Zurich. Des sous-modules sont fournis dans divers modules d’extension d’application sur le ServiceNow AI Platform. Vous pouvez faire pivoter les clés sur les sous-modules, mais pas sur le module cm_glide_encrypter parent.

    Séparation de domaine et clients sur site

    KMF Password2 ne prend pas en charge Séparation de domaine. Vous pouvez l’utiliser Password2 avec des instances sur site.

    Hérité Password2 et actuel Password2

    Dans Zurich, le champ existant Password2 a été mis à niveau.

    L’implémentation actuelle de Password2:
    • Utilise les directives d’encapsulation de clé conformément à la Cadre de travail de gestion des clésnorme NIST 800-57 et fournit une protection FIPS 140-2-L3 pour l’ensemble de la hiérarchie de clés.
    • Inclut des options pour créer des sous-modules dédiés et uniques KMF Password2 pour des applications spécifiques, offrant un contrôle via le périmètre de l’application. Chaque sous-module possède sa propre clé de chiffrement AES 256 GCM.

    Champs Password2 dans les scripts

    Lorsque vous accédez à Password2 des champs avec un script, exécutez le script dans le même champ d’application que le champ d’application de la table. Utilisez setDisplayValue() pour chiffrer Password2 les valeurs et getDecryptedValue() pour déchiffrer et lire la valeur.

    Remarque :
    N’utilisez pas l’API GlideEncrypter() sur Password2 les champs.
    Cet exemple de script vous montre comment chiffrer my@Password dans la colonne password2 de la table 'table_xyz'.
    
var  gr =  new GlideRecord(‘table_xyz’);
gr.pwd2column_name.setDisplayValue('my@Password');
 
gr.insert();
    Important :
    Vous ne pouvez pas utiliser l’API setValue() pour le Password2 champ.

    Cet exemple de script vous montre comment déchiffrer le même champ pour récupérer la valeur :

    
var  gr =  new GlideRecord(‘table_xyz’);
gr.query();
gr.next();
var ge=gr.getElement('pwd2column_name');
var ged1 = ge.getDecryptedValue();
    Important :
    L’API getDecryptedValue() n’est pas incluse dans le périmètre. Il est disponible dans le monde entier.
    1. Lorsque vous chiffrez des données dans un Password2 champ, le système détermine le périmètre de l’application où se trouve le Password2 champ.
    2. Le système recherche alors un sous-module du module parent cm_glide_encrypter ayant le même périmètre que l’application si la propriété est définie sur true.
      Remarque :
      Si un sous-module avec le même champ d’application est présent, il utilise la spécification et la clé du sous-module pour effectuer le chiffrement.

    Cette illustration explique comment votre instance déchiffre les données dans Password2 les champs :

    Figure 2. Flux de déchiffrement Password2
    Flux de déchiffrement Password2.

    KMF Password2 Tâche de migration

    Une tâche de migration est fournie pour les clients effectuant une mise à niveau à partir de versions précédentes. Il prend des données chiffrées avec un chiffrement hérité Password2 et les chiffre à nouveau avec la clé d’une KMF Password2 clé de sous-module. Le rechiffrement s’applique uniquement aux tables avec Password2 des champs dans les périmètres d’application qui ont également des sous-modules créés pour ce périmètre. Par exemple, un champ hérité Password2 dans XYZ_example application (avec XYZ_example périmètre de l’application) est chiffré à nouveau uniquement si un sous-module pour le périmètre de l’application XYZ_example existe sous le module parent cm_glide_encrypter.

    Les KMF Password2 clés de chiffrement du sous-module sont protégées (chiffrées par enveloppe) dans la hiérarchie des KMF clés.