Importieren von durch HSM geschützten Schlüsseln in Key Vault (BYOK)
Zur Verbesserung der Sicherheit können Sie bei Verwendung von Azure Key Vault Schlüssel in ein HSM (Hardwaresicherheitsmodul) importieren oder darin generieren. Dieser Schlüssel verbleibt immer innerhalb der Grenzen des HSM. Dieses Szenario wird häufig als Bring Your Own Key (BYOK) bezeichnet. Key Vault verwendet FIPS 140-validierte HSMs zum Schutz Ihrer Schlüssel.
Verwenden Sie die Informationen in diesem Artikel zum Planen, Generieren und Übertragen Ihrer eigenen durch HSM geschützten Schlüssel für die Nutzung mit Azure Key Vault.
Hinweis
Diese Funktionalität ist für Microsoft Azure des Betreibers 21Vianet nicht verfügbar.
Diese Importmethode ist nur für unterstützte HSMs verfügbar.
Weitere Informationen und ein Tutorial mit den ersten Schritten mit Key Vault (einschließlich der Erstellung eines Schlüsseltresors für durch HSM geschützte Schlüssel) finden Sie unter Was ist Azure Key Vault?.
Übersicht
Im Folgenden finden Sie eine Übersicht über den Prozess. Einige der Schritte, die Sie ausführen müssen, werden weiter unten in diesem Artikel beschrieben.
- Generieren Sie in Key Vault einen Schlüssel (als Schlüsselaustauschschlüssel (Key Exchange Key, KEK) bezeichnet). Der KEK muss ein RSA-HSM-Schlüssel sein, der nur den Schlüsselvorgang
importumfasst. Nur ein Key Vault Premium HSM und ein verwaltetes HSM unterstützen RSA-HSM-Schlüssel. - Laden Sie den öffentlichen Schlüssel des KEK als PEM-Datei herunter.
- Übertragen Sie den öffentlichen Schlüssel des KEK auf einen Offlinecomputer, der mit einem lokalen HSM verbunden ist.
- Verwenden Sie auf dem Offlinecomputer das von Ihrem HSM-Anbieter bereitgestellte BYOK-Tool, um eine BYOK-Datei zu erstellen.
- Der Zielschlüssel wird mit einem KEK verschlüsselt. Die Verschlüsselung bleibt bis zur Übertragung an die HSMs in Key Vault bestehen. Nur die verschlüsselte Version Ihres Schlüssels verlässt das lokale HSM.
- Ein KEK, der innerhalb eines Key Vault-HSM generiert wurde, kann nicht exportiert werden. HSMs erzwingen die Regel, dass keine unverschlüsselte Version eines KEK außerhalb eines Key Vault-HSM vorhanden sein darf.
- Der KEK muss sich in derselben Key Vault-Instanz befinden, in die der Zielschlüssel importiert werden soll.
- Wenn die BYOK-Datei in Key Vault hochgeladen wird, verwendet das Key Vault-HSM den privaten Schlüssel des KEK, um das Zielschlüsselmaterial zu entschlüsseln und als HSM-Schlüssel zu importieren. Dieser Vorgang erfolgt vollständig innerhalb eines Key Vault-HSM. Der Zielschlüssel verbleibt stets in den Schutzgrenzen des HSM.
Voraussetzungen
In der folgenden Tabelle sind die Voraussetzungen für die Verwendung von BYOK in Azure Key Vault aufgeführt:
| Anforderung | Weitere Informationen |
|---|---|
| Ein Azure-Abonnement | Um in Azure Key Vault einen Schlüsseltresor erstellen zu können, benötigen Sie ein Azure-Abonnement. Registrieren Sie sich für eine kostenlose Testversion. |
| Ein Key Vault Premium HSM oder ein verwaltetes HSM zum Importieren von durch HSM geschützten Schlüsseln | Weitere Informationen zu den Dienstebenen und Funktionen in Azure Key Vault finden Sie unter Key Vault – Preise. |
| Ein HSM aus der Liste der unterstützten HSMs sowie ein BYOK-Tool mit den zugehörigen Anweisungen Ihres HSM-Anbieters | Sie müssen über die Berechtigungen für ein HSM und grundlegende Kenntnisse in der Verwendung Ihres HSM verfügen. Weitere Informationen finden Sie unter Unterstützte HSMs. |
| Azure-Befehlszeilenschnittstelle Version 2.1.0 oder höher | Weitere Informationen finden Sie unter Installieren der Azure CLI. |
Unterstützte HSMs
| Herstellername | Herstellertyp | Unterstützte HSM-Modelle | Weitere Informationen |
|---|---|---|---|
| Cryptomathic | ISV (Enterprise Key Management System) | Mehrere HSM-Marken und -Modelle, einschließlich
|
|
| Entrust | Hersteller, HSM als Dienst |
|
nCipher – Neues BYOK-Tool und -Dokumentation |
| Fortanix | Hersteller, HSM als Dienst |
|
Exportieren von SDKMS-Schlüsseln nach Cloudanbietern für BYOK – Azure Key Vault |
| IBM | Hersteller | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Hersteller | Alle Liquid Security-HSMs mit
|
Marvell – BYOK-Tool und -Dokumentation |
| nCipher | Hersteller, HSM als Dienst |
|
nCipher – Neues BYOK-Tool und -Dokumentation |
| Securosys SA | Hersteller, HSM als Dienst |
Primus-HSM-Familie, Securosys Clouds HSM | Primus – BYOK-Tool und -Dokumentation |
| StorMagic | ISV (Enterprise Key Management System) | Mehrere HSM-Marken und -Modelle, einschließlich
|
SvKMS und Azure Key Vault BYOK |
| Thales | Hersteller |
|
Luna – BYOK-Tool und -Dokumentation |
| Utimaco | Hersteller, HSM als Dienst |
u.trust Anchor, CryptoServer | Utimaco-BYOK-Tool und Integrationshandbuch |
Unterstützte Schlüsseltypen
| Schlüsselname | Schlüsseltyp | Schlüsselgröße/Kurve | Origin | BESCHREIBUNG |
|---|---|---|---|---|
| Schlüsselaustauschschlüssel (Key Exchange Key, KEK) | RSA | 2\.048 Bit 3\.072 Bit 4\.096 Bit |
Azure Key Vault-HSM | Ein durch HSM gestütztes RSA-Schlüsselpaar, das in Azure Key Vault generiert wurde |
| Zielschlüssel | ||||
| RSA | 2\.048 Bit 3\.072 Bit 4\.096 Bit |
Anbieter-HSM | Der Schlüssel, der an das Azure Key Vault-HSM übertragen werden soll | |
| EC | P-256 P-384 P-521 |
Anbieter-HSM | Der Schlüssel, der an das Azure Key Vault-HSM übertragen werden soll | |
Generieren und Übertragen Ihres Schlüssels an ein Key Vault Premium HSM oder verwaltetes HSM
So generieren und übertragen Sie Ihren Schlüssel an ein Key Vault Premium HSM oder verwaltetes HSM
- Schritt 1: Generieren eines KEK
- Schritt 2: Herunterladen des öffentlichen Schlüssels des KEK
- Schritt 3: Generieren des Schlüssels und Vorbereiten für die Übertragung
- Schritt 4: Übertragen des Schlüssels an Azure Key Vault
Generieren eines KEK
Ein KEK ist ein RSA-Schlüssel, der in einem Key Vault Premium HSM oder einem verwalteten HSM generiert wird. Der KEK wird zum Verschlüsseln des Schlüssels verwendet, den Sie importieren möchten (Zielschlüssel).
Für den KEK gilt Folgendes:
- Es muss sich um einen RSA-HSM-Schlüssel handeln (2.048 Bit, 3.072 Bit oder 4.096 Bit).
- Er muss im selben Schlüsseltresor generiert werden, in den Sie den Zielschlüssel importieren möchten.
- Die zulässigen Schlüsselvorgänge müssen auf
importfestgelegt sein.
Hinweis
Der KEK muss als einzigen zulässigen Schlüsselvorgang „import“ aufweisen. „import“ schließt sich mit allen anderen wichtigen Vorgängen gegenseitig aus.
Verwenden Sie den Befehl az keyvault key create, um den KEK mit auf import festgelegten Schlüsselvorgängen zu erstellen. Notieren Sie die Schlüssel-ID (kid), die vom folgenden Befehl zurückgegeben wird. (Sie verwenden den kid-Wert in Schritt 3.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM
Für verwaltetes HSM:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
Herunterladen des öffentlichen Schlüssels des KEK
Verwenden Sie den Befehl az keyvault key download, um den öffentlichen Schlüssel des KEK in eine PEM-Datei herunterzuladen. Der importierte Zielschlüssel ist mit dem öffentlichen Schlüssel des KEK verschlüsselt.
az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Für verwaltetes HSM:
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
Übertragen Sie die Datei „KEKforBYOK.publickey.pem“ an Ihren Offlinecomputer. Sie benötigen diese Datei im nächsten Schritt.
Generieren des Schlüssels und Vorbereiten für die Übertragung
Informieren Sie sich in der Dokumentation Ihres HSM-Anbieters darüber, wie Sie das BYOK-Tool herunterladen und installieren. Befolgen Sie die Anweisungen des HSM-Anbieters, um einen Zielschlüssel zu generieren und dann eine Schlüsselübertragungsdatei (BYOK-Datei) zu erstellen. Das BYOK-Tool verwendet den kid aus Schritt 1 und die Datei „KEKforBYOK.publickey.pem“, die Sie in Schritt 2 heruntergeladen haben, um einen verschlüsselten Zielschlüssel in einer BYOK-Datei zu generieren.
Übertragen Sie die BYOK-Datei an Ihren verbundenen Computer.
Hinweis
Das Importieren von RSA-Schlüsseln mit 1.024 Bit wird nicht unterstützt. Das Importieren eines Elliptic Curve-Schlüssels mit der Kurve P-256K wird unterstützt.
Bekanntes Problem: Das Importieren eines RSA 4K-Zielschlüssels von Luna HSMs wird nur mit Firmware 7.4.0 oder höher unterstützt.
Übertragen des Schlüssels an Azure Key Vault
Um den Schlüsselimport abzuschließen, übertragen Sie das Schlüsselübertragungspaket (BYOK-Datei) von Ihrem nicht verbundenen Computer an den mit dem Internet verbundenen Computer. Verwenden Sie den Befehl az keyvault key import, um die BYOK-Datei in das Key Vault-HSM hochzuladen.
Verwenden Sie zum Importieren eines RSA-Schlüssels den folgenden Befehl: Der Parameter „--kty“ ist optional und wird standardmäßig auf „RSA-HSM“ festgelegt.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Für verwaltetes HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Zum Importieren eines EC-Schlüssels müssen Sie den Schlüsseltyp und den Kurvennamen angeben.
az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Für verwaltetes HSM
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok
Wenn der Upload erfolgreich ist, werden die Eigenschaften des importierten Schlüssels in der Azure-Befehlszeilenschnittstelle angezeigt.
Nächste Schritte
Sie können diesen HSM-geschützten Schlüssel jetzt in Ihrem Schlüsseltresor verwenden. Weitere Informationen finden Sie in dieser Gegenüberstellung von Preisen und Funktionen.