Importation des clés de chambre forte et des versions de clé
Lorsque vous utilisez du matériel clé importé, vous restez responsable du matériel clé tout en permettant au service de chambre forte d'en utiliser une copie.
- Utilisez le matériel clé généré par un outil ou une source en fonction de vos besoins.
- Utilisez les matières clés que vous utilisez dans d'autres systèmes en nuage ou sur place.
- Gérez le matériel clé, son expiration et sa suppression dans le service de chambre forte.
- Possédez et gérez le matériel clé en dehors d'Oracle Cloud Infrastructure pour une durabilité supplémentaire et à des fins de récupération.
| Type de clé | Taille de clé prise en charge |
|---|---|
| Clés symétriques : Les clés symétriques basées sur un algorithme AES (Advanced Encryption Standard) sont utilisées pour chiffrer ou déchiffrer. | Vous pouvez importer des clés AES ayant l'une des longueurs suivantes :
|
| Clés asymétriques : Les clés assymétriques basées sur un algorithme Rivest-Shamir-Adleman (RSA) sont utilisées pour chiffrer, déchiffrer, signer ou vérifier. | Vous pouvez importer des clés RSA ayant l'une des longueurs suivantes :
|
Les clés asymétriques basées sur l'algorithme ECDSA (Elliptic Curve Cryptography Digital Signature Algorithm) ne peuvent pas être importées.
La longueur du matériau de la clé doit correspondre à celle indiquée au moment de la création ou de l'importation de la clé. De plus, avant d'importer une clé, vous devez encapsuler le matériel de clé à l'aide de la clé d'encapsulation publique fournie avec chaque chambre forte. La paire de clés d'encapsulation de la chambre forte permet au module de sécurité matériel de désencapsuler et de stocker la clé en toute sécurité. Pour respecter la conformité de l'industrie des cartes de paiement (PCI), vous ne pouvez pas importer une clé de plus grande résistance que la clé que vous utilisez pour l'encapsuler.
Les clés d'encapsulation de chambre forte sont des clés RSA 4096 bits. Par conséquent, pour respecter la conformité PCI, vous ne pouvez pas importer des clés AES de plus de 128 bits. Notez que la clé d'encapsulation est créée au moment de la création de la chambre forte et qu'elle est exclusive à la chambre forte. Toutefois, vous ne pouvez pas créer, supprimer ou faire pivoter une clé d'encapsulation.
Si vous prévoyez d'utiliser l'interface de ligne de commande pour créer une clé externe ou une version de clé externe, le matériel de clé doit être encodé en base64.
Politique GIA requise
Les clés associées aux volumes, seaux, systèmes de fichiers, grappes et groupes de flux ne fonctionneront que si vous autorisez les volumes par blocs, le stockage d'objets, le stockage de fichiers, le moteur Kubernetes et le service de flux à utiliser des clés en votre nom. De plus, vous devez également avant tout autoriser les utilisateurs à déléguer l'utilisation des clés à ces services. Pour plus d'informations, voir Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment et Créer une politique pour activer les clés de chiffrement dans Politiques communes. Les clés associées aux bases de données ne fonctionneront pas sauf si vous autorisez un groupe dynamique qui inclut tous les noeuds du système de base de données à gérer les clés dans la location. Pour plus d'informations, voir Politique IAM requise dans Exadata Cloud Service
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.
Pour les administrateurs : Pour les politiques standard qui permettent l'accès aux chambres fortes, aux clés et aux clés secrètes, voir Autoriser les administrateurs de la sécurité à gérer les chambres fortes, les clés et les clés secrètes. Pour plus d'informations sur les autorisations ou si vous devez écrire des politiques plus restrictives, voir Informations détaillées sur le service de chambre forte.
Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes.
Avant de commencer
Pour utiliser votre propre clé, vous devez encapsuler le matériel de clé à l'aide de RSA - Remplissage de chiffrement asymétrique optimal (OAEP) avant de l'importer. La transformation du matériau de clé fournit une couche supplémentaire de protection en ne permettant que le module de sécurité matériel (HSM) en possession de la clé d'enroulement RSA privée de dérouler la clé.
| Type de clé | Mécanisme d'emballage pris en charge |
|---|---|
| Clé symétrique (AES) |
|
| Clé asymétrique (RSA) | RSA_OAEP_AES_SHA256 (RSA-OAEP avec un code de hachage SHA-256 et une clé AES temporaire) |
Pour obtenir la clé d'encapsulation RSA pour une chambre forte, voir Obtention de la clé d'encapsulation RSA publique.
Si vous utilisez MacOS ou Linux, vous devez installer la série OpenSSL 1.1.1 pour exécuter les commandes. Si vous prévoyez d'utiliser l'encapsulation RSA_OAEP_AES_SHA256, vous devez également installer un correctif OpenSSL qui le prend en charge, voir Configuration de OpenSSL pour encapsuler le matériel de clé. Si vous utilisez Windows, vous devez installer Git Bash pour Windows pour exécuter des commandes.