Importation des clés de chambre forte et des versions de clé

Lorsque vous utilisez du matériel clé importé, vous restez responsable du matériel clé tout en permettant au service de chambre forte d'en utiliser une copie.

Vous voudrez peut-être "apporter votre propre clé" (BYOK) pour :
  • Utilisez le matériel clé généré par un outil ou une source en fonction de vos besoins.
  • Utilisez les matières clés que vous utilisez dans d'autres systèmes en nuage ou sur place.
  • Gérez le matériel clé, son expiration et sa suppression dans le service de chambre forte.
  • Possédez et gérez le matériel clé en dehors d'Oracle Cloud Infrastructure pour une durabilité supplémentaire et à des fins de récupération.
Lorsque vous créez une clé ou une version clé, vous pouvez importer votre propre matériel de clé au lieu de laisser le service de chambre forte générer le matériel de clé en interne.
Vous pouvez importer les types de clé et les formes de clé suivants dans une chambre forte OCI :
Types de clé et tailles de clé pris en charge
Type de clé Taille de clé prise en charge
Clés symétriques : Les clés symétriques basées sur un algorithme AES (Advanced Encryption Standard) sont utilisées pour chiffrer ou déchiffrer. Vous pouvez importer des clés AES ayant l'une des longueurs suivantes :
  • 128 bits (16 octets)
  • 192 bits (24 octets)
  • 256 bits (32 octets)
Clés asymétriques : Les clés assymétriques basées sur un algorithme Rivest-Shamir-Adleman (RSA) sont utilisées pour chiffrer, déchiffrer, signer ou vérifier. Vous pouvez importer des clés RSA ayant l'une des longueurs suivantes :
  • 2048 bits (256 octets)
  • 3072 bits (384 octets)
  • 4096 bits (512 octets)
Note

Les clés asymétriques basées sur l'algorithme ECDSA (Elliptic Curve Cryptography Digital Signature Algorithm) ne peuvent pas être importées.

La longueur du matériau de la clé doit correspondre à celle indiquée au moment de la création ou de l'importation de la clé. De plus, avant d'importer une clé, vous devez encapsuler le matériel de clé à l'aide de la clé d'encapsulation publique fournie avec chaque chambre forte. La paire de clés d'encapsulation de la chambre forte permet au module de sécurité matériel de désencapsuler et de stocker la clé en toute sécurité. Pour respecter la conformité de l'industrie des cartes de paiement (PCI), vous ne pouvez pas importer une clé de plus grande résistance que la clé que vous utilisez pour l'encapsuler.

Les clés d'encapsulation de chambre forte sont des clés RSA 4096 bits. Par conséquent, pour respecter la conformité PCI, vous ne pouvez pas importer des clés AES de plus de 128 bits. Notez que la clé d'encapsulation est créée au moment de la création de la chambre forte et qu'elle est exclusive à la chambre forte. Toutefois, vous ne pouvez pas créer, supprimer ou faire pivoter une clé d'encapsulation.

Si vous prévoyez d'utiliser l'interface de ligne de commande pour créer une clé externe ou une version de clé externe, le matériel de clé doit être encodé en base64.

Politique GIA requise

Attention

Les clés associées aux volumes, seaux, systèmes de fichiers, grappes et groupes de flux ne fonctionneront que si vous autorisez les volumes par blocs, le stockage d'objets, le stockage de fichiers, le moteur Kubernetes et le service de flux à utiliser des clés en votre nom. De plus, vous devez également avant tout autoriser les utilisateurs à déléguer l'utilisation des clés à ces services. Pour plus d'informations, voir Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment et Créer une politique pour activer les clés de chiffrement dans Politiques communes. Les clés associées aux bases de données ne fonctionneront pas sauf si vous autorisez un groupe dynamique qui inclut tous les noeuds du système de base de données à gérer les clés dans la location. Pour plus d'informations, voir Politique IAM requise dans Exadata Cloud Service

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.

Pour les administrateurs : Pour les politiques standard qui permettent l'accès aux chambres fortes, aux clés et aux clés secrètes, voir Autoriser les administrateurs de la sécurité à gérer les chambres fortes, les clés et les clés secrètes. Pour plus d'informations sur les autorisations ou si vous devez écrire des politiques plus restrictives, voir Informations détaillées sur le service de chambre forte.

Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes.

Avant de commencer

Pour utiliser votre propre clé, vous devez encapsuler le matériel de clé à l'aide de RSA - Remplissage de chiffrement asymétrique optimal (OAEP) avant de l'importer. La transformation du matériau de clé fournit une couche supplémentaire de protection en ne permettant que le module de sécurité matériel (HSM) en possession de la clé d'enroulement RSA privée de dérouler la clé.

Le service de chambre forte prend en charge les mécanismes d'encapsulation suivants basés sur le type de clé :
Type de clé Mécanisme d'emballage pris en charge
Clé symétrique (AES)
  • RSA_OAEP_SHA256 (RSA-OAEP avec un code de hachage SHA-256)
  • RSA_OAEP_AES_SHA256 (RSA-OAEP avec un code de hachage SHA-256 et une clé AES temporaire)
Clé asymétrique (RSA) RSA_OAEP_AES_SHA256 (RSA-OAEP avec un code de hachage SHA-256 et une clé AES temporaire)

Pour obtenir la clé d'encapsulation RSA pour une chambre forte, voir Obtention de la clé d'encapsulation RSA publique.

Si vous utilisez MacOS ou Linux, vous devez installer la série OpenSSL 1.1.1 pour exécuter les commandes. Si vous prévoyez d'utiliser l'encapsulation RSA_OAEP_AES_SHA256, vous devez également installer un correctif OpenSSL qui le prend en charge, voir Configuration de OpenSSL pour encapsuler le matériel de clé. Si vous utilisez Windows, vous devez installer Git Bash pour Windows pour exécuter des commandes.