Encapsulamento da chave fornecida pelo cliente

  • Versão de lançamento: Yokohama
  • Atualizado 31 de jan. de 2025
  • 2 min. de leitura

    • Encapsule sua chave de criptografia de dados simétrica com uma chave de encapsulamento pública efêmera antes de carregá-la na sua instância.

    Antes de Iniciar

    Função necessária: administrador do KMF ou operador de criptografia do KMF

    Para realizar essas etapas, você deve ter uma chave de criptografia de dados simétrica em um .bin. Para obter instruções sobre esse processo, consulte Configuração de chaves fornecidas pelo cliente para Criptografia de campo Enterprise.
    Importante:
    Sua chave de criptografia de dados simétrica deve estar em formato binário (.BIN). Se o formato for diferente, será exibida a seguinte mensagem de erro:

    Falha na validação do token. Anexe novamente o token não modificado.

    Por Que e Quando Desempenhar Esta Tarefa

    Para modificar as propriedades opcionais que controlam o tamanho, o algoritmo de preenchimento e o período de validade da chave, consulte Configuração das propriedades de chaves fornecidas pelo cliente.

    Você deve ter uma ferramenta criptográfica para encapsular sua chave. O exemplo neste documento se baseia no OpenSSL 1.1. Para obter mais informações sobre OpenSSL, consulte os detalhes em https://www.openssl.org. Se você estiver usando outras ferramentas criptográficas, como LibreSSL ou GnuTLS, consulte a documentação desses produtos para obter etapas semelhantes.

    Procedimento

    1. Navegar até Tudo > Segurança do sistema > Criptografia de campo > Módulos de criptografia de campo.
    2. Abra um módulo de criptografia de campo que você criou anteriormente.
      Nota:
      Se você ainda não criou um módulo de criptografia de campo, poderá fazê-lo seguindo as etapas apresentadas em Configuração de módulos da Criptografia de campo.
    3. Na lista relacionada Módulo, abra o registro criptográfico específico selecionando o nome em Alias da chave.
    4. Selecione o botão Avançar até chegar à seção Origem da chave.
    5. Verifique se o campo Origem tem o valor Carregar chave fornecida pelo cliente.
      Caso contrário, se você não puder escolher esse valor, consulte as etapas de 3 a 5 em Configuração de chaves fornecidas pelo cliente para Criptografia de campo Enterprise.
    6. No campo Alias da chave, crie um alias.
      Sua chave usará esse alias depois de carregada.
    7. Selecione Avançar.
    8. Selecione o link no campo Fazer download da chave de encapsulamento.

      Um arquivo token_publickey é baixado para o seu computador. Não renomeie esse arquivo.

    9. Na máquina local, descompacte e abra a pasta token_publickey.
      Deve haver um arquivo de token de importação (.txt) e um arquivo de chave pública (.PEM) nessa pasta.
    10. Mova a chave de criptografia de dados simétrica que você gerou nessa pasta.
    11. Copie o nome do arquivo token_publickey para a área de transferência.
    12. Abra uma sessão de terminal e navegue até a pasta token_publickey.
    13. Insira o seguinte comando:
      Importante:
      Substitua qualquer texto entre colchetes (<>) pelos nomes e informações de arquivo específicos. Use como orientação a tabela de exemplos de comando de encapsulamento de chave a seguir.
      openssl pkeyutl -encrypt -pubin -inkey publickey_<nomedachave>. PEM -in <nomedachave.bin> -out wrapped_key_material -pkeyopt rsa_padding_mode: oaep -pkeyopt rsa_oaep_md:sha<128 ou 256>
      Tabela 1. Exemplos de comando de encapsulamento da chave
      Direções Comando Exemplo

      Insira publickey_<nomedachave>.PEM

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<nomedachave>.PEM openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff.PEM
      Insira o nome da sua chave de criptografia de dados simétrica. -in <nomedachave.bin> -in mykey.bin
      Insira o comano <-out> e especifique se o material da chave encapsulada deve ser de 128 bits ou 256 bits. -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 N/D

    O que Fazer Depois

    Agora que sua chave está encapsulada, você pode carregá-la para sua instância usando o procedimento fornecido em Upload da chave fornecida pelo cliente.