Déconseiller l’utilisation de GlideEncrypter de 3DES pour les champs password2

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Déconseillez l’utilisation de la norme de chiffrement 3DES par GlideEncrypter sur votre instance. Assurez-vous que votre instance utilise l’AES (Advanced Encryption Standard) plus sécurisé exclusivement pour le chiffrement et le déchiffrement de vos données Password2.

    À partir de , Romeles données password2 sont protégées à l’aide de la Key Management Frameworkcommande , qui utilise l’algorithme AES (Advanced Encryption Standard) plus moderne. Toutefois, certaines configurations et solutions de secours dans la logique password2 peuvent toujours utiliser l’algorithme 3DES pour le chiffrement et le déchiffrement.

    Dans la version, les Vancouver administrateurs peuvent choisir de déconseiller entièrement l’algorithme 3DES. Une fois ce changement effectué, votre instance utilise le chiffrement AES exclusivement pour toutes les tâches de chiffrement et de déchiffrement relatives aux données password2. Ce changement offre une meilleure sécurité d’instance que le chiffrement 3DES et est nécessaire pour rester conforme au NIST.

    Considérations avant l’obsolescence

    Transfert de données password2 entre les instances

    Lors du transfert de textes chiffrés password2 vers d’autres instances, vous devez vous assurer que est KMF Key Exchange activé entre les instances source et cible. Cette configuration garantit que les clés utilisées pour chiffrer les textes password2 sont disponibles sur les deux instances pour déchiffrer les textes chiffrés par password2. Avant de déconseiller 3DES, tenez compte des cas d’utilisation suivants qui peuvent avoir un impact sur les données password2 entre les instances.

    • Si vous avez des applications sur votre instance qui utilisent des données password2, assurez-vous qu’elles KMF Resource Exchange sont installées sur cette instance. KMF Resource Exchange Garantit que les clés au niveau de l’instance utilisées pour chiffrer les données password2 sur l’instance source sont disponibles sur les instances cibles pour le déchiffrement. Pour plus d'informations, consultez Échange de ressources du cadre de travail de gestion des clés.
    • Si vous prévoyez d’exporter des données password2 via XML ou des sources de données, assurez-vous que l’instance cible est KMF Key Exchange activée. Cette configuration garantit que les clés au niveau de l’instance utilisées pour chiffrer les données password2 sur l’instance source sont disponibles sur les instances cibles pour le déchiffrement. Pour plus d’informations sur cette configuration, reportez-vous à la section Cadre de travail de gestion de clés Échange de clés.
      Important :
      Les exemples ci-dessus sont des scénarios plus courants, mais si vous utilisez d’autres moyens de transférer du texte chiffré password2 entre les instances, vous devez configurer KMF Resource Exchange pour vous assurer que l’instance cible peut déchiffrer les données password2.
    Passage à une version antérieure d’une instance après la dépréciation de 3DES

    Ce qui suit s’applique uniquement aux instances dont les champs password2 ont des longueurs d’entrée supérieures à 125 caractères et vous avez déjà déconseillé le chiffrement 3DES.

    Pour passer à une version antérieure d’une instance afin qu’elle soit publiée plus tôt que Vancouver via le clonage d’instance, procédez comme suit avant de lancer le clone.

    1. Vérifiez si la conservation des données est configurée pour préserver les données de champ password2.
    2. Si oui, avant de demander un clone, contactez le ServiceNow support technique pour désactiver l’obsolescence de 3DES. Dans le champ Motif , utilisez « Cloner le passage à une version antérieure prérequis pour la prise en charge de password2 ».
    Champs password2 hérités

    Votre instance utilise le chiffrement 3DES pour convertir les données password2 en données héritées (pré-Rome) password2. Après avoir déconseillé le chiffrement 3DES, cette option n’est plus disponible. Si vous avez toujours besoin de cette fonctionnalité, demandez une dépréciation partielle (voir les détails dans la section suivante).

    Comment déconseiller 3DES

    Une fois que vous avez examiné les cas d’utilisation précédents, utilisez l’article de la base de connaissances KB1704481, pour un processus étape par étape visant à déconseiller en toute sécurité l’utilisation de l’algorithme DES ou Triple DES dans l’instance. Pour plus de détails, voir KB1704481.

    Important :
    Vous devez vous élever au rang d’administrateur de sécurité pour voir le module Conformité de sécurité et effectuer ces étapes. Pour obtenir plus de détails sur ce processus, voir Accéder à un rôle privilégié.

    Après la dépréciation de GlideEncrypter

    Une fois le processus de dépréciation terminé, les informations suivantes s’appliquent à votre instance.
    • Les champs password2 prennent toujours en charge le déchiffrement (mais pas le chiffrement) des données chiffrées 3DES.
    • Les données chiffrées 3DES existantes dans les champs password2 restent telles quelles jusqu’à ce que la valeur du champ soit mise à jour par un utilisateur ou un workflow.
    • Toute mise à jour de la valeur d’un champ password2 supprime le texte chiffré 3DES et le remplace par le texte chiffré à l’aide KMF d’AES.
    • Dans certaines situations, votre instance peut afficher une erreur lors de l’enregistrement des données de mot de passe :

      Action abandonnée : la valeur du mot de passe ne peut pas être enregistrée en raison d’un problème technique. Veuillez consulter KB1296997 pour obtenir de l’aide.

      Si cette erreur s’affiche, consultez les informations d’assistance dans l’article de la base de connaissances KB1296997.