Troca de chaves da Key Management Framework

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • O KMF Key Exchange é uma função de subconjunto do KMF Resource Exchange. O Key Exchange transfere com segurança dados criptografados em várias instâncias.

    Visão geral do Key Exchange

    O Key Exchange transfere chaves entre instâncias com segurança.

    O KMF Key Exchange fornece uma maneira segura para os clientes trocarem chaves KMF entre instâncias. Um caso de uso de aplicação é o processo de clonagem de dados. Com o Key Exchange, as chaves do módulo de criptografia são copiadas durante a clonagem de dados de componentes do KMF. Módulos criptográficos, especificações de chave de módulo e políticas de acesso ao módulo estão incluídos no processo de clonagem. A transferência de chaves não está incluída.

    Como usar Key Exchange

    Os administradores que usam o KMF para criptografia no nível de coluna podem usar o Key Exchange para clonar as chaves entre instâncias de produção ao executar a clonagem de dados. Na clonagem de dados, o administrador/gerenciador de criptografia do KMF pode executar o seguinte:
    • Trocar todas as chaves com as outras instâncias.
    • Trocar chaves específicas uma vez ou periodicamente para a outra instância.
    • Enviar solicitações sob demanda da instância de destino para a instância de origem da chave.
    • Trocar chaves da origem para o destino para recriar a chave do texto cifrado.
      • Gerenciar o tempo de expiração da solicitação com a capacidade de excluir chaves ou rejeitar a solicitação de troca de chave se a solicitação tiver expirado.
      • Depois que a solicitação for concluída e a chave importada, a chave usada será definida como expirada com carimbo de data/hora.
      • Reinserir o texto cifrado na instância de destino que tenha sido criptografada com chaves da origem.

    Modos compatíveis

    O Key Exchange é compatível com vários modos no nível de especificação de criptografia do módulo de criptografia:

    Modo Descrição
    Automático (sem configuração, comportamento padrão) Todas as chaves são enviadas automaticamente durante o processo de clonagem de dados sem configuração adicional.
    Configurável (configuração única) O administrador configura as chaves a serem enviadas durante o processo de clonagem de dados.
    Manual (pessoa no circuito) O administrador envia uma solicitação sob demanda na instância de destino para a origem. A solicitação deve ser aprovada por um administrador na instância de origem da chave.
    Recriação de chave (solicitação automatizada) O administrador seleciona a opção de recriação de chave durante o processo de configuração de clonagem.