Chaves de nível de instância na estrutura de gerenciamento de chave

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • A arquitetura Estrutura de gestão principal (KMF) apresenta uma estrutura de chave específica criada com foco em segurança. Usando um módulo de segurança de hardware (HSM), KMF usa criptografia de envelope para garantir que todas as chaves da plataforma sob gerenciamento de KMF sejam protegidas por meio de uma cadeia de chaves. As chaves de criptografia de dados do cliente (CDEKs) criadas pelo KMF também estão incluídas.

    No nível da instância, o KMF define várias chaves que são usadas internamente para variados fins criptográficos em toda a Now Platform.

    A criptografia de envelope é a prática de criptografar uma chave com outra chave. A figura a seguir fornece um exemplo de criptografia de envelope. Aqui, as CDEKs são criptografadas por envelope pela IKEK, que por sua vez é criptografada por envelope pela IRK, que finalmente é criptografada por envelope pela RK. Como a IRK só pode ser acessada pelo HSM, a IKEK deve ser carregada para descriptografia.

    Essa tabela fornece exemplos de um subconjunto de clientes/chaves de aplicativos disponíveis que são gerenciados e protegidos por KMF.

    Chave Local Descrição
    Chave raiz (RK) Modelo de segurança de hardware (HSM) Chave raiz usada para descriptografar o IRK.
    Chave raiz da instância (IRK) HSM Uma chave exclusiva para sua instância que é usada para criptografar por envelope várias chaves internas da instância.
    Chave HMAC da instância (IHK) Instância Única por instância, a IHK é usada internamente para fins de código de autenticação de mensagem baseado em hash (HMAC).

    A IHK garante a autenticidade e integridade das chaves do módulo e é encapsulada no KeySecure ou no Repositório de chaves do arquivo.
    Chave de criptografia da chave de instância (IKEK) Instância

    A IKEK agrupa as chaves do módulo e é agrupada no KeySecure ou no Repositório de chaves do arquivo.
    Chave de criptografia assimétrica da instância (IAEK) Instância Uma chave exclusiva por instância que é usada internamente para fins de criptografia assimétrica.

    A IAEK é usada para transmitir mensagens confidenciais entre uma instância durante a aprovação do consumidor do Key Exchange ou Replicação de dados da instância.
    Chave de assinatura de instância (ISK) Instância Uma chave exclusiva para sua instância que é usada internamente para fins de assinatura.
    Password2 (PW2) Instância Com KMF, a chave para campos PW2 é totalmente gerenciada por KMF.
    Chave de criptografia de dados do cliente (CDEK) Instância As chaves de criptografia criadas por meio de KMF são criptografadas em envelope pela IKEK.
    Chave de criptografia de dados (DEK) da Replicação de dados da instância (IDR) Instância Chaves de criptografia específicas usadas para o processo de IDR.