Import klíčů chráněných HSM do služby Key Vault (BYOK)

Pro zvýšení záruky při použití služby Azure Key Vault můžete importovat nebo generovat klíč v modulu hardwarového zabezpečení (HSM); klíč nikdy neopustí hranice HSM. Tento scénář se často označuje jako byok (Bring Your Own Key ). Key Vault používá k ochraně vašich klíčů ověřené moduly HSM FIPS 140.

Informace v tomto článku vám pomůžou s plánováním, generováním a přenosem vlastních klíčů chráněných modulem HSM pro použití se službou Azure Key Vault.

Poznámka:

Tato funkce není k dispozici pro Microsoft Azure provozovanou společností 21Vianet.

Tato metoda importu je dostupná jenom pro podporované moduly HSM.

Další informace a kurz, jak začít používat službu Key Vault (včetně postupu vytvoření trezoru klíčů pro klíče chráněné HSM), najdete v tématu Co je Azure Key Vault?.

Přehled

Tady je přehled procesu. Konkrétní kroky k dokončení jsou popsány dále v článku.

• Ve službě Key Vault vygenerujte klíč (označovaný jako klíč KEK (Key Exchange Key). Klíč KEK musí být klíč RSA-HSM, který má pouze import operaci klíče. Klíče RSA-HSM podporují pouze Key Vault Premium a spravované HSM.
• Stáhněte si veřejný klíč KEK jako soubor .pem.
• Přeneste veřejný klíč KEK do offline počítače, který je připojený k místnímu HSM.
• V offline počítači vytvořte soubor BYOK pomocí nástroje BYOK poskytnutého dodavatelem HSM.
• Cílový klíč se zašifruje pomocí klíče KEK, který zůstane zašifrovaný, dokud se nepřenese do modulu HSM služby Key Vault. Místní HSM ponechá jenom zašifrovaná verze vašeho klíče.
• Klíč KEK vygenerovaný v modulu HSM služby Key Vault není možné exportovat. Moduly hardwarového zabezpečení (HSM) vynucují pravidlo, že neexistuje žádná jasná verze klíče KEK mimo modul hardwarového zabezpečení služby Key Vault.
• Klíč KEK musí být ve stejném trezoru klíčů, ve kterém se cílový klíč naimportuje.
• Když se soubor BYOK nahraje do služby Key Vault, hsM služby Key Vault použije privátní klíč KEK k dešifrování materiálu cílového klíče a jeho importu jako klíče HSM. K této operaci dochází zcela uvnitř HSM služby Key Vault. Cílový klíč vždy zůstává v hranici ochrany HSM.

Požadavky

Následující tabulka uvádí požadavky pro použití BYOK ve službě Azure Key Vault:

Požadavek	Více informací
Předplatné Azure	K vytvoření trezoru klíčů ve službě Azure Key Vault potřebujete předplatné Azure. Zaregistrujte si bezplatnou zkušební verzi.
Key Vault Premium nebo spravovaný HSM pro import klíčů chráněných HSM	Další informace o úrovních služeb a možnostech ve službě Azure Key Vault najdete v tématu Ceny služby Key Vault.
HsM ze seznamu podporovaných modulů HSM a nástroje BYOK a pokynů poskytovaných dodavatelem HSM	Musíte mít oprávnění pro HSM a základní znalosti o tom, jak hsm používat. Viz podporované moduly HSM.
Azure CLI verze 2.1.0 nebo novější	Viz Instalace Azure CLI.

Podporované moduly HSM

Název dodavatele	Typ dodavatele	Podporované modely HSM	Více informací
Cryptomathic	ISV (Enterprise Key Management System)	Několik značek a modelů HSM včetně nCipher Thales Utimaco Podrobnosti najdete na webu Cryptomathic.
Svěřit	Výrobce HSM jako služba	nShield řady HSM nShield jako služba	nCipher new BYOK tool and documentation
Fortanix	Výrobce HSM jako služba	Samoobslužná obrana Služba správy klíčů (SD Služba správy klíčů) Equinix SmartKey	Export klíčů SD Služba správy klíčů do poskytovatelů cloudu pro BYOK – Azure Key Vault
IBM	Výrobce	IBM 476x, CryptoExpress	IBM Enterprise Key Management Foundation
Marvell	Výrobce	Všechny moduly HSM LiquidSecurity s využitím Firmware verze 2.0.4 nebo novější Firmware verze 3.2 nebo novější	Marvell BYOK nástroj a dokumentace
nCipher	Výrobce HSM jako služba	nShield řady HSM nShield jako služba	nCipher new BYOK tool and documentation
Securosys SA	Výrobce HSM jako služba	Řada HSM Primus, Securosys Clouds HSM	Nástroj a dokumentace k Primus BYOK
StorMagic	ISV (Enterprise Key Management System)	Několik značek a modelů HSM včetně Utimaco Thales nCipher Podrobnosti najdete na webu StorMagic.	Sv Služba správy klíčů a BYOK služby Azure Key Vault
Thales	Výrobce	Řada Lun HSM 7 s firmwarem verze 7.3 nebo novější	Luna BYOK – nástroj a dokumentace
Utimaco	Výrobce HSM jako služba	u.trust Anchor, CryptoServer	Nástroj Utimaco BYOK a průvodce integrací

Podporované typy klíčů

Název klíče	Typ klíče	Velikost klíče/křivka	Zdroj	Popis
Klíč výměny klíčů (KEK)	RSA	2 048 bitů 3 072 bitů 4 096 bitů	Azure Key Vault HSM	Pár klíčů RSA založený na HSM vygenerovaný ve službě Azure Key Vault
Cílový klíč
	RSA	2 048 bitů 3 072 bitů 4 096 bitů	Modul hardwarového zabezpečení (HSM dodavatele)	Klíč, který se má přenést do HSM služby Azure Key Vault
	EC	P-256 P-384 P-521	Modul hardwarového zabezpečení (HSM dodavatele)	Klíč, který se má přenést do HSM služby Azure Key Vault

Generování a přenos klíče do HSM služby Key Vault Premium nebo spravovaného HSM

Generování a přenos klíče do služby Key Vault Premium nebo spravovaného HSM:

• Krok 1: Vygenerování klíče KEK
• Krok 2: Stažení veřejného klíče KEK
• Krok 3: Vygenerování a příprava klíče na přenos
• Krok 4: Přenos klíče do služby Azure Key Vault

Vygenerování klíče KEK

Klíč KEK je klíč RSA vygenerovaný ve službě Key Vault Úrovně Premium nebo spravovaném HSM. Klíč KEK se používá k šifrování klíče, který chcete importovat ( cílový klíč).

Klíč KEK musí být následující:

• Klíč RSA-HSM (2 048bitový, 3 072bitový nebo 4 096bitový)
• Vygenerováno ve stejném trezoru klíčů, ve kterém chcete importovat cílový klíč.
• Vytvořeno s povolenými operacemi s klíči nastavenými na import

Poznámka:

Klíč KEK musí mít jako jedinou povolenou operaci klíče import. "import" se vzájemně vylučují se všemi ostatními operacemi s klíči.

Pomocí příkazu az keyvault key create vytvořte klíč KEK, který má klíčové operace nastavené na import. Poznamenejte si identifikátor klíče (kid), který se vrátí z následujícího příkazu. (Použijete kid hodnotu v kroku 3.)

Azure CLI

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

Pro spravované HSM:

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

Azure PowerShell

Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'KEKforBYOK' -Destination 'HSM' -Size 4096 -KeyOps 'import'

Pro spravované HSM:

Add-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -Name 'KEKforBYOK' -Destination 'HSM' -Size 4096 -KeyOps 'import'

Stažení veřejného klíče KEK

Pomocí příkazu az keyvault key download stáhněte veřejný klíč KEK do souboru .pem. Cílový klíč, který importujete, je šifrovaný pomocí veřejného klíče KEK.

Azure CLI

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Pro spravované HSM:

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Azure PowerShell

Get-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -KeyName 'KEKforBYOK' -OutFile 'KEKforBYOK.publickey.pem'

Pro spravované HSM

Get-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -KeyName 'KEKforBYOK' -OutFile 'KEKforBYOK.publickey.pem'

Přeneste soubor KEKforBYOK.publickey.pem do offline počítače. Tento soubor budete potřebovat v dalším kroku.

Vygenerování a příprava klíče na přenos

Informace o stažení a instalaci nástroje BYOK najdete v dokumentaci dodavatele HSM. Postupujte podle pokynů od dodavatele HSM a vygenerujte cílový klíč a pak vytvořte balíček pro přenos klíčů (soubor BYOK). Nástroj BYOK použije kid soubor KEKforBYOK.publickey.pem,který jste stáhli v kroku 2, a vygeneruje šifrovaný cílový klíč v souboru BYOK.

Přeneste soubor BYOK do připojeného počítače.

Poznámka:

Import 1 024bitových klíčů RSA se nepodporuje. Import klíče elliptické křivky s křivkou P-256K je podporován.

Známý problém: Import cílového klíče RSA 4K z lunárních HSM se podporuje jenom s firmwarem 7.4.0 nebo novějším.

Přenos klíče do služby Azure Key Vault

Pokud chcete dokončit import klíče, přeneste balíček pro přenos klíčů (soubor BYOK) z odpojeného počítače do počítače připojeného k internetu. Pomocí příkazu az keyvault key import nahrajte soubor BYOK do HSM služby Key Vault.

K importu klíče RSA použijte následující příkaz. Parametr --kty je volitelný a výchozí hodnota je RSA-HSM.

Azure CLI

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Pro spravované HSM

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Azure PowerShell

Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Pro spravované HSM

Add-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Chcete-li importovat klíč EC, je nutné zadat typ klíče a název křivky.

Azure CLI

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Pro spravované HSM

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

Azure PowerShell

Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyType EC -CurveName P-256  -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Pro spravované HSM

Add-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyType EC -CurveName P-256  -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Pokud je nahrávání úspěšné, Azure CLI zobrazí vlastnosti importovaného klíče.

Další kroky

Teď můžete v trezoru klíčů použít tento klíč chráněný modulem HSM. Další informace najdete v tomto porovnání cen a funkcí.