キー管理フレームワークのインスタンスレベルのキー
エンベロープ暗号化を使用して、KMF管理下にあるすべてのプラットフォームキーがキーのチェーンによって保護されるようにする、キー管理フレームワーク (KMF) キー構造について説明します。KMF によって作成された顧客データ暗号化キー (CDEK) もこの構造に含まれます
.
KMF キーストレージアーキテクチャ
KMFキー構造では、SafeNet KeySecure ハードウェアセキュリティモジュール (HSM) を使用します。HSM は、 FIPS 140-2-L3 セキュリティ標準を満たすために、物理的および電子的に改ざん防止されるように設計されています。 KMF はエンベロープ暗号化を使用して、 KMF 管理下にあるすべてのプラットフォームキーが、 KMFによって生成できるモジュールキーを含むキーのチェーンによって保護されるようにします。
エンベロープ暗号化
エンベロープ暗号化は、キーを別のキーで暗号化する手法です。これは別名を「ラッピング」といいます。モジュールキーはインスタンスキー暗号化キー (IKEK) によってエンベロープ暗号化され、IKEK はインスタンスルートキー (IRK) によってエンベロープ暗号化され、最終的にルートキー (RK) によってエンベロープ暗号化されます。HSM のみが IRK にアクセスできるため、復号化のために IKEK をアップロードする必要があります。
インスタンスレベルでは、KMF は ServiceNow AI Platform 全体でさまざまな暗号化の目的で内部的に使用される複数のキーを定義します。
次の表は、 KMFによって管理および保護される使用可能なキーのサブセットの例を示しています。
| キー | ロケーション | 説明 |
|---|---|---|
| ルートキー (RK) | ハードウェアセキュリティモデル (HSM) | IRK の復号化に使用されるルートキー |
| インスタンスルートキー (IRK) | HSM | 複数のインスタンス内部キーをエンベロープ暗号化するために使用される、インスタンスごとに固有のキー。 |
| インスタンス HMAC キー (IHK) | インスタンス | インスタンスごとに固有の IHK が、ハッシュベースのメッセージ認証コード (HMAC) のために内部的に使用されます。 IHK は、モジュールキーの信頼性と整合性を検証するのに役立ち、KeySecure またはファイルキーストアのいずれかにラップされます。 |
| インスタンスキー暗号化キー (IKEK) | インスタンス |
IKEK はモジュールキーをラップし、KeySecure またはファイルキーストアのいずれかでラップされます。 |
| インスタンス非対称暗号化キー (IAEK) | インスタンス | 非対称暗号化のために内部的に使用される、インスタンスごとに固有のキー。 IAEK は、鍵交換 中またはインスタンスデータレプリケーション (IDR)のコンシューマー承認中に、インスタンス間で機密メッセージを送信するために使用されます。 |
| インスタンス署名キー (ISK) | インスタンス | 署名目的で内部的に使用される、インスタンスごとに固有のキー。 |
| Password2 (PW2) | インスタンス | KMF では、PW2 フィールドのキーは KMF によって完全に管理されます。 |
| 顧客データ暗号化キー (CDEK) | インスタンス | KMF を介して作成された暗号化キーは、IKEK によってエンベロープ暗号化されます。 |
| インスタンスデータレプリケーション (IDR) データ暗号化キー (DEK) | インスタンス | IDR プロセスに使用される特定の暗号化キー |