Importar chaves protegidas por HSM para o HSM Gerido (BYOK)

O Azure Key Vault Managed HSM dá suporte à importação de chaves geradas em seu módulo de segurança de hardware (HSM) local; as chaves nunca sairão do limite de proteção do HSM. Esse cenário geralmente é chamado de traga sua própria chave (BYOK). O HSM Gerido utiliza os adaptadores HSM Marvell LiquidSecurity (FIPS 140-2 Nível 3 validado) para proteger as chaves.

Use as informações deste artigo para ajudá-lo a planejar, gerar e transferir suas próprias chaves protegidas por HSM para usar com o HSM gerenciado.

Nota

Esta funcionalidade não está disponível para o Microsoft Azure operado pela 21Vianet. Esse método de importação está disponível apenas para HSMs suportados.

Para obter mais informações e um tutorial para começar a usar o HSM gerenciado, consulte O que é o HSM gerenciado?.

Descrição geral

Aqui está uma visão geral do processo. As etapas específicas a serem concluídas são descritas mais adiante no artigo.

  • No HSM gerenciado, gere uma chave (conhecida como chave de troca de chaves (KEK)). O KEK deve ser uma chave RSA-HSM que tenha apenas a operação de import chave.
  • Faça o download da chave pública KEK como um arquivo .pem.
  • Transfira a chave pública KEK para um computador offline conectado a um HSM local.
  • No computador offline, use a ferramenta BYOK fornecida pelo fornecedor do HSM para criar um arquivo BYOK.
  • A chave de destino é criptografada com um KEK, que permanece criptografado até ser transferido para o HSM gerenciado. Somente a versão criptografada da sua chave sai do HSM local.
  • Um KEK gerado dentro de um HSM gerenciado não é exportável. Os HSMs impõem a regra de que não existe uma versão clara de um KEK fora de um HSM gerenciado.
  • O KEK deve estar no mesmo HSM gerenciado onde a chave de destino será importada.
  • Quando o arquivo BYOK é carregado no HSM gerenciado, um HSM gerenciado usa a chave privada KEK para descriptografar o material da chave de destino e importá-lo como uma chave HSM. Esta operação acontece inteiramente dentro do HSM. A chave de destino sempre permanece no limite de proteção do HSM.

Pré-requisitos

Para usar os comandos da CLI do Azure neste artigo, você deve ter os seguintes itens:

Azure Cloud Shell

O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. Captura de tela que mostra um exemplo de Try It for Azure Cloud Shell.
Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser. Botão para iniciar o Azure Cloud Shell.
Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure. Captura de tela que mostra o botão Cloud Shell no portal do Azure

Para usar o Azure Cloud Shell:

  1. Inicie o Cloud Shell.

  2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

  3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

  4. Selecione Enter para executar o código ou comando.

Para entrar no Azure usando a CLI, digite:

az login

Para obter mais informações sobre as opções de início de sessão através da CLI, consulte iniciar sessão com a CLI do Azure

HSMs suportados

Nome do fornecedor Tipo de fornecedor Modelos HSM suportados Mais informações
Criptomática ISV (Sistema de Gestão de Chaves Empresariais) Várias marcas e modelos de HSM, incluindo
  • nCifra
  • Thales
  • Utimaco
Consulte o site Cryptomathic para obter detalhes
Confiar Fabricante,
HSM como serviço
  • Família nShield de HSMs
  • nShield como serviço
nCipher nova ferramenta BYOK e documentação
Fortanix Fabricante,
HSM como serviço
  • Serviço de gerenciamento de chaves de autodefesa (SDKMS)
  • Equinix SmartKey
Exportando chaves SDKMS para provedores de nuvem para BYOK - Azure Key Vault
IBM Fabricante IBM 476x, CryptoExpress IBM Fundação de Gerenciamento de Chaves Empresariais
Maravilhoso Fabricante Todos os HSMs LiquidSecurity com
  • Firmware versão 2.0.4 ou posterior
  • Firmware versão 3.2 ou superior
Ferramenta Marvell BYOK e documentação
Securosys SA Fabricante, HSM como serviço Família Primus HSM, Securosys Clouds HSM Ferramenta e documentação Primus BYOK
StorMagic ISV (Sistema de Gestão de Chaves Empresariais) Várias marcas e modelos de HSM, incluindo
  • Utimaco
  • Thales
  • nCifra
Consulte o site StorMagic para obter detalhes
SvKMS e Azure Key Vault BYOK
Thales Fabricante
  • Família Luna HSM 7 com firmware versão 7.3 ou superior
Ferramenta Luna BYOK e documentação
Utimaco Fabricante,
HSM como serviço
u.trust Âncora, CryptoServer Ferramenta Utimaco BYOK e guia de integração

Tipos de chave suportados

Nome da chave Tipo de chave Tamanho/curva da chave Origem Description
Chave de troca de chaves (KEK) RSA-HSM 2.048 bits
3.072 bits
4.096 bits
HSM Gerido Um par de chaves RSA apoiado por HSM gerado no HSM gerenciado
Chave de destino
RSA-HSM 2.048 bits
3.072 bits
4.096 bits
HSM do fornecedor A chave a ser transferida para o HSM gerenciado
EC-HSM P-256
P-384
P-521
HSM do fornecedor A chave a ser transferida para o HSM gerenciado
Chave simétrica (oct-hsm) 128 bits
192 bits
256 bits
HSM do fornecedor A chave a ser transferida para o HSM gerenciado

Gere e transfira sua chave para o HSM gerenciado

Passo 1: Gerar um KEK

Um KEK é uma chave RSA gerada em um HSM gerenciado. O KEK é usado para criptografar a chave que você deseja importar (a chave de destino ).

O KEK deve ser:

  • Uma chave RSA-HSM (2.048 bits; 3.072 bits; ou 4.096 bits)
  • Gerado no mesmo HSM gerenciado para o qual você pretende importar a chave de destino
  • Criado com operações de chave permitidas definidas como import

Nota

O KEK deve ter 'import' como a única operação de chave permitida. A «importação» exclui-se mutuamente com todas as outras operações essenciais.

Use o comando az keyvault key create para criar um KEK com operações de chave definidas como import. Registre o identificador de chave (kid) retornado do comando a seguir. (Você usará o kid valor na Etapa 3.)

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

Passo 2: Faça o download da chave pública KEK

Use az keyvault key download para baixar a chave pública KEK para um arquivo .pem. A chave de destino importada é criptografada usando a chave pública KEK.

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Transfira o ficheiro KEKforBYOK.publickey.pem para o seu computador offline. Você precisará desse arquivo na próxima etapa.

Passo 3: Gere e prepare a sua chave para transferência

Consulte a documentação do fornecedor do HSM para baixar e instalar a ferramenta BYOK. Siga as instruções do fornecedor do HSM para gerar uma chave de destino e, em seguida, crie um pacote de transferência de chaves (um arquivo BYOK). A ferramenta BYOK usará o kid arquivo da Etapa 1 e o arquivo KEKforBYOK.publickey.pem que você baixou na Etapa 2 para gerar uma chave de destino criptografada em um arquivo BYOK.

Transfira o ficheiro BYOK para o computador ligado.

Nota

Não há suporte para a importação de chaves RSA de 1.024 bits. A importação de chaves EC-HSM P256K é suportada.

Problema conhecido: a importação de uma chave de destino RSA 4K de HSMs Luna só é suportada com o firmware 7.4.0 ou mais recente.

Etapa 4: Transfira sua chave para o HSM gerenciado

Para concluir a importação de chaves, transfira o pacote de transferência de chaves (um arquivo BYOK) do computador desconectado para o computador conectado à Internet. Use o comando az keyvault key import para carregar o arquivo BYOK no HSM gerenciado.

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Se o carregamento for bem-sucedido, a CLI do Azure exibirá as propriedades da chave importada.

Próximos passos

Agora você pode usar essa chave protegida por HSM em seu HSM gerenciado. Para obter mais informações, consulte esta comparação de preços e recursos.