Partage via


Importer des clés protégées par HSM dans Key Vault (BYOK)

Pour une meilleure garantie, lorsque vous utilisez Azure Key Vault, vous pouvez importer ou générer une clé dans un module de sécurité matériel (HSM) ; la clé ne franchira jamais les limites de celui-ci. Il est souvent fait référence à ce scénario sous le terme BYOK (Bring Your Own Key, ou apportez votre propre clé). Key Vault utilise des modules HSM validés FIPS 140 pour protéger vos clés.

Les informations de cet article vous aident à planifier, à générer puis à transférer vos propres clés protégées par HSM à utiliser avec Azure Key Vault.

Notes

Cette fonctionnalité n’est pas disponible pour Microsoft Azure géré par 21Vianet.

Cette méthode d’importation n’est disponible que pour les HSM pris en charge.

Pour plus d’informations et pour accéder à un tutoriel sur la prise en main de Key Vault (y compris la création d’un coffre de clés pour des clés protégées par HSM), voir Qu’est-ce qu’Azure Key Vault ?.

Vue d’ensemble

Voici une vue d’ensemble du processus. Les étapes spécifiques à effectuer sont décrites plus loin dans cet article.

  • Dans Azure Key Vault, générez une clé (Key Exchange Key, KEK). Cette KEK doit être une clé RSA-HSM qui n’a que l’opération de clé import. Seuls Key Vault Premium et HSM managés prennent en charge les clés RSA-HSM.
  • Téléchargez la clé publique KEK en tant que fichier. pem.
  • Transférez la clé publique KEK sur un ordinateur hors connexion connecté à un HSM local.
  • Sur l’ordinateur hors connexion, utilisez l’outil BYOK fourni par votre fournisseur de HSM pour créer un fichier BYOK.
  • La clé cible est chiffrée à l’aide d’une clé KEK qui reste chiffrée jusqu’à ce qu’elle soit transférée vers le HSM d’Azure Key Vault. Seule la version chiffrée de la clé quitte le HSM local.
  • Une clé KEK générée à l’intérieur d’un HSM de Key Vault n’est pas exportable. Les HSM appliquent la règle en vertu de laquelle aucune version claire d’une clé KEK n’existe en dehors d’un HSM de Key Vault.
  • La clé KEK doit se trouver dans le coffre de clés dans lequel la clé cible doit être importée.
  • Lors du chargement du fichier BYOK sur le coffre de clés, un HSM de Key Vault utilise la clé KEK privée pour déchiffrer le matériel de la clé cible et l’importer comme clé HSM. Cette opération se produit entièrement à l’intérieur d’un HSM de Key Vault. La clé cible reste toujours dans la limite de protection du HSM.

Prérequis

Le tableau suivant répertorie les conditions préalables à l’utilisation de BYOK dans Azure Key Vault :

Condition requise Informations complémentaires
Abonnement Azure Pour créer un coffre de clés dans Azure Key Vault, vous avez besoin d’un abonnement Azure. Inscrivez-vous pour un essai gratuit.
Key Vault Premium ou HSM managé pour importer les clés protégées par HSM Pour plus d’informations sur les niveaux de service et les capacités d’Azure Key Vault, voir Tarification d’Azure Key Vault.
HSM figurant dans la liste des HSM pris en charge, avec un outil BYOK et des instructions fournies par votre fournisseur de HSM Vous devez disposer d’autorisations pour un HSM et d’une connaissance de base de l’utilisation de votre HSM. Consultez Modules HSM pris en charge.
Azure CLI version 2.1.0 ou ultérieure Voir Installer l’interface de ligne de commande Azure.

Modules HSM pris en charge

Nom du fournisseur Type de fournisseur Modèles HSM pris en charge Informations complémentaires
Cryptomathic ISV (système de gestion de clés sécurisé) Plusieurs marques et modèles de modules HSM, dont
  • nCipher
  • Thales
  • Utimaco
Pour plus d'informations, consultez le site de Cryptomathic
Entrust Fabricant,
HSM en tant que service
  • Famille nShield de modules HSM
  • nShield en tant que service
Outil et documentation BYOK nCipher (nouvelle méthode)
Fortanix Fabricant,
HSM en tant que service
  • SDKMS (Self-Defending Key Management Service)
  • Equinix SmartKey
Exportation de clés SDKMS vers des fournisseurs cloud pour BYOK - Azure Key Vault
Futurex Fabricant,
HSM en tant que service
  • CryptoHub
  • CryptoHub Cloud
  • KMES Series 3
Guide d’intégration Futurex – Azure Key Vault
IBM Fabricant IBM 476x, CryptoExpress IBM Enterprise Key Management Foundation
Marvell Fabricant Tous les modules HSM LiquidSecurity avec
  • Version 2.0.4 ou ultérieure du microprogramme
  • Version 3.2 ou ultérieure du microprogramme
Outil et documentation BYOK Marvell
nCipher Fabricant,
HSM en tant que service
  • Famille nShield de modules HSM
  • nShield en tant que service
Outil et documentation BYOK nCipher (nouvelle méthode)
Securosys SA Fabricant,
HSM en tant que service
Famille HSM de Primus, HSM Clouds de Securosys Outil et documentation BYOK Primus
StorMagic ISV (système de gestion de clés sécurisé) Plusieurs marques et modèles de modules HSM, dont
  • Utimaco
  • Thales
  • nCipher
Pour plus d’informations, consultez le site StorMagic
SvKMS et BYOK d’Azure Key Vault
Thales Fabricant
  • Famille Luna HSM 7 avec microprogramme version 7.3 ou ultérieure
Outil BYOK Luna et documentation
Utimaco Fabricant,
HSM en tant que service
u.trust Anchor, CryptoServer Guide d’intégration et outil BYOK Utimaco

Types de clés pris en charge

Nom de clé Type de clé Taille de clé/Courbe Origine Description
Key Exchange Key (KEK) RSA 2 048 bits
3 072 bits
4 096 bits
HSM Azure Key Vault Paire de clés RSA sauvegardée par HSM générée dans Azure Key Vault
Clé cible
RSA 2 048 bits
3 072 bits
4 096 bits
HSM du fournisseur Clé à transférer au HSM d’Azure Key Vault
EC P-256
P-384
P-521
HSM du fournisseur Clé à transférer au HSM d’Azure Key Vault

Générer et transférer votre clé vers Key Vault HSM Premium ou HSM managé

Générer et transférer votre clé vers Key Vault Premium ou HSM managé :

Générer une clé KEK

Une KEK est une clé RSA générée dans Key Vault Premium ou HSM managé. La KEK est utilisée pour chiffrer la clé que vous souhaitez importer (clé cible).

La clé KEK doit être :

  • une clé RSA-HSM (2 048 bits, 3 072 bits ou 4 096 bits)
  • Générée dans le coffre de clés dans lequel vous envisagez d’importer la clé cible
  • Créée avec les opérations de clé autorisées définies sur import

Notes

La clé KEK doit avoir « Importer » comme seule opération de clé autorisée. « Importer » est incompatible avec toutes les autres opérations de clé.

Pour créer une clé KEK avec les opérations de clé définies sur import, utilisez la commande az keyvault key create. Enregistrez l’identificateur de clé (kid) qui est retourné par la commande suivante. (Vous allez utiliser la valeur kid à l’étape 3.)

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

Pour le HSM managé :

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

Télécharger la clé publique KEK

Utilisez la commande az keyvault key download pour télécharger la clé publique KEK dans un fichier .pem. La clé cible que vous importez est chiffrée à l’aide de la clé publique KEK.

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Pour le HSM managé :

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Transférez le fichier KEKforBYOK.publickey.pem sur votre ordiateur hors connexion. Vous en aurez besoin à l’étape suivante.

Générer votre clé et la préparer pour le transfert

Reportez-vous à la documentation de votre fournisseur de HSM pour télécharger et installer l’outil BYOK. Suivez les instructions de votre fournisseur de HSM pour générer une clé cible, puis créez un package de transfert de clé (fichier BYOK). L’outil BYOK utilise le kid de l’étape 1 et le fichier KEKforBYOK.publickey.pem que vous avez téléchargé à l’étape 2 pour générer une clé cible chiffrée dans un fichier BYOK.

Transférez le fichier BYOK sur votre ordinateur connecté.

Notes

L’importation de clés RSA 1 024 bits n’est pas prise en charge. L’importation de clés à courbe elliptique de P-256K est prise en charge.

Problème connu : L’importation d’une clé cible RSA 4K à partir de modules HSM Luna est uniquement prise en charge avec le microprogramme 7.4.0 ou une version ultérieure.

Transférer votre clé vers Azure Key Vault

Pour terminer l’importation de la clé, transférez le package de transfert de clé (fichier BYOK) de votre ordinateur déconnecté vers l’ordinateur connecté à Internet. Pour charger le fichier BYOK dans le HSM de Key Vault, utilisez la commande az keyvault key import.

Pour importer une clé RSA, utilisez la commande suivante. Le paramètre --kty est facultatif et prend par défaut la valeur « RSA-HSM ».

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Pour le HSM managé

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Pour importer une clé EC, vous devez spécifier le type de clé et le nom de la courbe.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Pour le HSM managé

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

Si le chargement réussit, Azure CLI affiche les propriétés de la clé importée.

Étapes suivantes

Vous pouvez maintenant utiliser cette clé protégée HSM dans votre coffre de clés. Pour plus d’informations, rendez-vous sur le prix et utilisez la fonctionnalité comparaison.