Encapsule sua chave fornecida pelo cliente

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Encapsule a chave simétrica a ser usada para criptografia com a chave pública baixada.

    Antes de Iniciar

    Nota:
    Este procedimento descreve as opções que estão disponíveis com o sistema de base KMF e as opções a serem usadas com a funcionalidade Criptografia em nível de coluna para empresas. A funcionalidade Criptografia em nível de coluna para empresas estará disponível somente quando o plug-in com.glide.now.platform.encryption estiver ativo. Consulte Ativação do Criptografia em nível de coluna para empresas para obter mais informações sobre como obter Criptografia em nível de coluna para empresas.

    Algumas das etapas neste documento exigem o uso de uma ferramenta criptográfica instalada no seu dispositivo local. Os exemplos nesta tarefa usam a ferramenta OpenSSL. Para obter mais informações sobre essa ferramenta, consulte https://www.openssl.org. Se estiver usando outras ferramentas criptográficas, como LibreSSL ou GnuTLS, consulte a documentação desses produtos para obter etapas semelhantes.

    • Modifique as propriedades opcionais que controlam o tamanho, o algoritmo de preenchimento e o período de validade da chave. Consulte Configurar propriedades de chaves fornecidas pelo cliente.

    • Você deve ter sua chave simétrica (.BIN) para criptografia.

      Importante:
      Sua chave deve estar no formato binário. Se outro formato for usado, será exibida uma mensagem de erro informando. Anexe novamente o token não modificado.que a validação do token falhou.

    • Você deve ter uma ferramenta criptográfica para encapsular sua chave. Este exemplo usa o OpenSSL 1.1.

    Função necessária: sn_kmf.cryptographic_manager ou sn_kmf.admin

    Procedimento

    1. Navegar até Todos > Estrutura de gestão de chaves > Módulos Criptográficos > Todos.
    2. Selecione o módulo criptográfico criado para a chave fornecida pelo cliente na lista relacionada Especificações de criptografia.
    3. Você será direcionado para a etapa de Criação de chave.
    4. Se ainda não tiver baixado a chave de encapsulamento, clique no link para baixar o arquivo token_publickey<id>.zip e salve-o no mesmo local de sua chave.
      Nota:
      Não renomeie o arquivo token_publickey<id> baixado.
    5. Descompacte o arquivo em sua rede local.
      O arquivo zip contém dois arquivos, um token de importação e um certificado .PEM de chave pública. Encapsule sua chave simétrica com a chave pública para criptografá-la.
    6. Copie o nome do arquivo token_publickey para a área de transferência.
    7. Em uma linha de comando, use o nome do arquivo token_publickey copiado para abrir a pasta dos arquivos descompactados como um espaço reservado para a chave encapsulada.
    8. Edite este script substituindo os exemplos pelos nomes de seus arquivos de criptografia. 
      "downloads user.name$ cd token_publickey_<token>
openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>.PEM
-in <keyname.bin>
-out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha<128 or 256> "

      Revise os comandos de encapsulamento de chave na tabela a seguir para obter mais informações.

      Tabela 1. Comandos de encapsulamento de chave
      Direções Comando Exemplo
      Abra o diretório do arquivo no qual você baixou o token de encapsulamento. 
      cd
      		 cd token_publickey123456789
      Cole o nome do certificado publickey.PEM. 
      openssl pkeyutl -encrypt -pubin -inkey
      		 publickey_586798643ffff.PEM
      Cole o nome da sua chave aqui. 
      -in
      		 mykey.bin
      Insira o comando <-out> e especifique se a chave é de 128 bits ou 256 bits. 
      -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256
      		 N/D
    9. Execute o comando:
      Uma mensagem do sistema exibe token_publickey_<keynumber>. A chave será gerada e um arquivo wrapped_key_material adicionado ao diretório.
    10. Carregue a chave encapsulada.

    O que Fazer Depois

    Retorne para Configure e carregue a chave fornecida pelo cliente para carregar sua chave encapsulada.