Chaves de nível de instância na estrutura de gerenciamento de chave
Saiba mais sobre Estrutura de gestão principal( KMF estrutura de chave , que usa criptografia de envelope para garantir que todas as chaves da plataforma em KMF a gestão é protegida por meio de uma cadeia de chaves. CDEKS (Customer Data Encryption Keys, chaves de criptografia de dados do cliente) criadas por KMF também estão incluídos nesta estrutura
.
Arquitetura de armazenamento de chaves KMF
. KMF A estrutura de chave usa o módulo de segurança de hardware (HSM) do SafeNet KeySecure. O HSM foi projetado para ser física e eletronicamente à prova de adulteração para atender a. Padrão de segurança FIPS 140-2-L3 . KMF usa criptografia de envelope para garantir que todas as chaves de plataforma em KMF a gestão é protegida por meio de uma cadeia de chaves, incluindo as chaves de módulo que podem ser geradas por KMF.
Criptografia de envelope
Criptografia de envelope é a prática de criptografar uma chave com outra chave, também chamada de encapsulamento. As chaves do módulo são criptografadas por envelope pela Chave de criptografia de chave da instância (IKEK), que por sua vez é criptografada por envelope pela Chave raiz da instância (IRK), que finalmente é criptografada por envelope pela Chave raiz (RK). Como a IRK só pode ser acessada pelo HSM, a IKEK deve ser carregada para descriptografia.
No nível da instância, o KMF define várias chaves que são usadas internamente para variados fins criptográficos em toda a ServiceNow AI Platform.
Esta tabela fornece exemplos de um subconjunto de chaves disponíveis que são gerenciadas e protegidas por KMF.
| Chave | Local | Descrição |
|---|---|---|
| Chave raiz (RK) | Modelo de segurança de hardware (HSM) | Chave raiz usada para descriptografar o IRK. |
| Chave raiz da instância (IRK) | HSM | Uma chave exclusiva para sua instância que é usada para criptografar por envelope várias chaves internas da instância. |
| Chave HMAC da instância (IHK) | Instância | Única por instância, a IHK é usada internamente para fins de código de autenticação de mensagem baseado em hash (HMAC). O IHK ajuda a verificar a autenticidade e a integridade das chaves do módulo e é encapsulado no KeySecure ou no Armazenamento de chaves de arquivo. |
| Chave de criptografia da chave de instância (IKEK) | Instância |
A IKEK agrupa as chaves do módulo e é agrupada no KeySecure ou no Repositório de chaves do arquivo. |
| Chave de criptografia assimétrica da instância (IAEK) | Instância | Uma chave exclusiva por instância que é usada internamente para fins de criptografia assimétrica. A IAEK é usada para transmitir mensagens confidenciais entre uma instância durante a aprovação do consumidor do Key Exchange ou Replicação de dados da instância. |
| Chave de assinatura de instância (ISK) | Instância | Uma chave exclusiva para sua instância que é usada internamente para fins de assinatura. |
| Password2 (PW2) | Instância | Com KMF, a chave para campos PW2 é totalmente gerenciada por KMF. |
| Chave de criptografia de dados do cliente (CDEK) | Instância | As chaves de criptografia criadas por meio de KMF são criptografadas em envelope pela IKEK. |
| Chave de criptografia de dados (DEK) da Replicação de dados da instância (IDR) | Instância | Chaves de criptografia específicas usadas para o processo de IDR. |