Cryptage de champ

Le système prend en charge le cryptage de certains champs sensibles de la base de données. Cette prise en charge inclut la possibilité de capturer les valeurs de hachage des données cryptées à des fins de recherche.

Pour comprendre comment configurer les champs à crypter, voir Cryptage applicatif.

Les sections de cette rubrique fournissent plus d'informations sur la définition des valeurs de clé de chiffrement et de hachage et sur la prise en charge de la rotation des clés.

Clé symétrique

Le produit fournit un objet métier Clé symétrique AES. Il génère une clé de cryptage à l'aide d'un algorithme AES 256.

Lors de la définition d'un trousseau de clés pour cet objet métier, vous devez fournir un préfixe d'encapsulation de 3 caractères unique sur l'ensemble des trousseaux de clés pour la classe "clé symétrique". Celui-ci facilite la rotation des clés, décrite ci-dessous.

L'objet métier prend en charge la rotation des clés relativement aux clés. Pour plus d'informations sur la rotation des clés, voir la section ci-dessous.

Une fois votre trousseau de clés symétriques défini et que vous détenez au moins une clé active, vous pouvez configurer les champs que vous souhaitez crypter et référencer ce trousseau de clés dans la configuration. Pour plus d'informations, voir Cryptage applicatif.

Clé de hachage

Le produit fournit un objet métier Clé de hachage HMAC. Il génère une clé HMAC et la stocke au format PEM.

Lors de la définition d'un trousseau de clés pour cet objet métier, vous devez fournir un préfixe d'encapsulation de 3 caractères unique sur l'ensemble des trousseaux de clés pour la classe "clé de hachage". Celui-ci facilite la rotation des clés, décrite ci-dessous.

Une fois votre trousseau de clés de hachage défini et que vous détenez au moins une clé active, pour les champs cryptés qui prennent en charge une valeur de hachage, vous pouvez référencer ce trousseau de clés dans la configuration. Pour plus d'informations, voir Cryptage applicatif.

Rotation des clés

La définition de vos clés de cryptage et de hachage à l'aide de trousseaux de clés rend possible la rotation des clés.

  • Lorsque le système crypte les données ou crée le champ de hachage, il utilise un marqueur permettant au système de déterminer quel trousseau de clés et quelle clé ont été utilisés pour crypter hacher les données. Les données sont cryptées/hachées à l'aide de la clé active actuelle.
  • Si votre entreprise souhaite introduire une nouvelle clé pour votre trousseau de clés symétriques ou votre trousseau de clés de hachage, utilisez le bouton Générer une clé pour créer une nouvelle clé. Cliquez sur le bouton Activer en regard de cette clé qu'elle devienne la clé à utiliser pour toutes les données qui seront ajoutées ou mises à jour par la suite. La clé précédente est marquée comme inactive.
  • Tous les enregistrements ajoutés ou mis à jour par la suite utilisent la nouvelle clé.
  • Pour effectuer une rotation des clés sur l'ensemble des données existantes cryptées/hachées avec la clé précédente, vous devez soumettre un batch. Pour plus d'informations, voir Rotation de clés en masse.

Rotation des trousseaux de clés

Les objets métier respectifs du trousseau de clés symétriques et du trousseau de clés de hachage définissent les algorithmes à utiliser pour générer la clé. Si vous souhaitez utiliser un autre algorithme pour générer la clé de cryptage symétrique ou la clé de hachage, un nouvel objet métier est nécessaire pour que le nouvel algorithme souhaité puisse être défini. Les points suivants mettent en évidence les étapes nécessaires pour modifier l'algorithme de génération de clés.

  • Définissez le nouvel objet métier pour le cas d'utilisation (clé de cryptage symétrique ou clé de hachage). Assurez-vous que l'algorithme associé à l'état Générer une clé fournit la logique de génération de clé souhaitée. Cet objet métier doit comprendre un champ pour le "préfixe d'encapsulation", similaire aux objets métier de l'installation standard fournis pour le trousseau de clés symétriques ou le trousseau de clés de hachage.
  • Définissez un nouveau trousseau de clés pour le nouvel objet métier et veillez à choisir une autre valeur de préfixe d'encapsulation. Cela est nécessaire pour la rotation des clés.
  • Générez une clé pour le trousseau et activez-la.
  • Accédez à la configuration d'une option Mutualisation de paramètres et mettez à jour les références keyRing ou hashKeyRing de toutes les entrées afin qu'elles pointent vers le nouveau trousseau de clés.
  • Tous les enregistrements ajoutés ou mis à jour par la suite utilisent le nouveau trousseau de clés et sa clé active.
  • Pour effectuer une rotation des clés sur l'ensemble des données existantes cryptées/hachées avec le trousseau de clés précédent et sa clé, vous devez soumettre un batch. Pour plus d'informations, voir Rotation de clés en masse.