Criptografia de Campo

Chave Simétrica

O produto fornece um objeto de negócios Chave Simétrica AES. Ele gera uma chave de criptografia usando um algoritmo AES 256.

Ao definir um keyring para este objeto de negócios, você fornece um prefixo "wrap" de 3 caracteres que é exclusivo entre os keyrings para a classe "chave simétrica". Isso ajuda na rotação de chaves, descrita abaixo.

Em relação às chaves, o objeto de negócios oferece suporte à rotação de chaves. Consulte a seção abaixo para obter mais informações sobre rotação de chaves.

Depois que seu keyring simétrico for definido e você tiver pelo menos uma chave ativa, poderá configurar os campos que deseja criptografar e fazer referência a esse keyring na configuração. Consulte mais informações em Segurança do Aplicativo.

Chave de Hash

O produto fornece um objeto de negócios de chave de hash HMAC. Ele gera uma chave HMAC e a armazena no formato PEM.

Ao definir um keyring para este objeto de negócios, você fornece um prefixo "wrap" de 3 caracteres que é exclusivo entre os keyrings para a classe "chave de hash". Isso ajuda na rotação de chaves, descrita abaixo.

Depois que seu keyring de chave de hash for definido e você tiver pelo menos uma chave ativa, poderá fazer referência a esse keyring na configuração para campos criptografados que oferecem suporte a um valor de hash. Consulte mais informações em Segurança do Aplicativo.

Rotação da Chave

A definição das chaves de criptografia e de hash usando keyring permite a rotação de chaves.

• Quando o sistema criptografa os dados ou cria o campo de hash, ele usa um marcador para que o sistema saiba qual keyring e chave foram usados para criptografar/hash os dados. Os dados são criptografados/hash com a chave ativa atual.
• Se sua organização quiser introduzir uma nova chave para seu keyring simétrico ou seu keyring de hash, use o botão Gerar Chave para criar uma nova chave. Clique no botão Ativar ao lado dessa Chave para torná-la a chave a ser usada para todos os dados adicionados ou atualizados daqui para frente. A chave anterior é marcada como Inativa.
• Todos os registros adicionados ou atualizados no futuro usam a nova chave.
• Para rotacionar as chaves em todos os dados existentes criptografados/com hash usando a chave anterior, você precisa enviar um batch. Consulte mais informações em Rotação de Chaves em Massa.

Rotação de Keyring

Os respectivos objetos de negócios para o keyring simétrico e o keyring de hash definem os algoritmos a serem usados para gerar a chave. Se chegar um ponto em que você deseja usar um algoritmo diferente para gerar a chave de criptografia simétrica ou a chave de hash, um novo objeto de negócios será necessário para que o novo algoritmo desejado possa ser definido. Os pontos a seguir destacam as etapas necessárias para alterar o algoritmo de geração de chaves.

• Defina o novo objeto de negócios para o caso de uso (chave de criptografia simétrica ou chave de hash). Certifique-se de que o algoritmo relacionado ao estado Gerar Chave tenha a lógica de geração de chave desejada. Este objeto de negócios deve incluir um campo para o prefixo "wrap", semelhante aos objetos de negócios do produto entregues para o keyring simétrico ou o keyring de hash.
• Defina um novo keyring para o novo objeto de negócios e escolha outro valor de prefixo "wrap". Isso é necessário para a rotação de chaves.
• Gere uma chave para o keyring e ative-a.
• Vá até Configuração da Opção de Recurso e atualize as referências de keyRing ou hashKeyRing de todas as entradas para apontar para o novo keyring.
• Todos os registros adicionados ou atualizados no futuro usam o novo keyring e a chave ativa dele.
• Para rotacionar as chaves em todos os dados existentes criptografados/com hash usando o keyring anterior e a chave ativa dele, você precisa enviar um batch. Consulte mais informações em Rotação de Chaves em Massa.