Condividi tramite

Aggiornare la chiave di firma per diventare conforme a FIPS

In questo articolo vengono esaminati i passaggi per aggiornare le chiavi di firma dell'ID verificato di Microsoft Entra per diventare conformi a FIPS. La maggior parte delle autorità è già conforme a FIPS. Sono solo le autorità create prima di febbraio 2024 usando metodo di installazione avanzata che richiedono l'aggiornamento della chiave di firma. le autorità di installazione rapida sono già conformi a FIPS e usano chiavi di firma P-256.

È necessario eseguire l'aggiornamento?

Il tipo di chiave P-256K non è conforme a FIPS. Se si vuole che il sistema ID verificato diventi conforme a FIPS e si usa la chiave P-256K, è necessario aggiornare la chiave di firma.

Cosa accade se non è necessario diventare conforme a FIPS?

Microsoft consiglia di eseguire comunque l'aggiornamento, in quanto il supporto per la chiave di firma P-256K in Verified ID potrebbe essere sospeso in futuro.

Come è possibile verificare se è necessario eseguire l'aggiornamento?

  1. Assicurati che la tua autorità sia stata configurata usando Advanced Setup. Se il tuo DID non inizia con did:web:verifiedid.entra.microsoft.com, è stato configurato usando il metodo Advanced Setup. È possibile esaminare il DID nel Organization settings nel portale o tramite l'API di amministrazione Ottieni autorità.

  2. Controllare se l'autorità usa la chiave di firma P-256K/secp256k1. È possibile determinare il tipo di chiave in due modi:

    1. Nell'Azure Key Vault per l'identificatore della chiave di firma, verificare che il Elliptic curve name abbia un valore di P-256K. La chiave del Azure Key Vault è visibile nel campo Signing key identifier nel Organization settings del portale.

    2. Visualizza il documento DID, esamina l'prima voce della raccolta verificationMethod e verifica che l'attributo crv abbia il valore secp256k1. È possibile recuperare il documento DID tramite URL https://<your-domain>/.well-known/did.json.

Prerequisiti per l'aggiornamento

  • L'utente amministratore che esegue l'aggiornamento della chiave deve disporre dell'autorizzazione per le chiavi in Key Vault.

Aggiornamento della chiave di firma

L'aggiornamento della chiave di firma è un'operazione in sette passaggi:

  1. Chiamare il didInfo/signingKeys API per creare una nuova chiave di firma P-256 in Key Vault. Il token di accesso nella chiamata deve essere di un utente amministratore con accesso alle chiavi nel vault delle chiavi. L'attributo didDocumentStatus per l'autorità passa a un valore outOfSync, che indica che esiste una discrepanza tra Key Vault e il documento did.json disponibile pubblicamente.

  2. Chiamare l'API generateDIDDocument per generare un nuovo documento DID. Salvare la risposta come file denominato did.json. Il documento DID generato contiene sia la nuova chiave P-256 che la chiave P-256K precedente.

  3. Sostituire did.json in tutti i server Web in cui è stato distribuito in precedenza. Prima di continuare, assicurarsi di poter recuperare il nuovo documento did.json dalla rete Internet pubblica con un browser.

  4. Chiamare l'API synchronizeWithDidDocument per iniziare a usare la nuova chiave di firma P-256. Questa chiamata API convalida che Key Vault e il documento pubblico did.json corrispondano. Se i valori corrispondono, l'autorità di ID verificata inizia a firmare utilizzando la nuova chiave di Key Vault. Da questo punto, l'autorità firma usando la nuova chiave P-256. Poiché il documento DID contiene anche una o più chiavi P-256K precedenti, credenziali precedentemente rilasciate, firmate da una chiave P-256K, continuano a funzionare nelle presentazioni. Il didDocumentStatus nell'oggetto JSON dell'autorità restituita ha un valore pari a published. Se il valore è ancora outOfSync, esiste una discrepanza tra Key Vault e il documento did.json e la chiave precedente viene comunque usata per la firma.

  5. Chiamare l'API generateWellKnownDidConfiguration per rigenerare la configurazione del dominio collegato. Salvare la risposta come file denominato did-configuration.json. Tecnicamente, è possibile ritardare questo passaggio perché le chiavi P-256K precedenti usate per firmare la configurazione del dominio collegato sono ancora disponibili nel documento DID. L'esecuzione di questo passaggio è un buon test che la nuova chiave di firma è attiva.

  6. Sostituire did-configuration.json in tutti i server Web in cui è stato distribuito in precedenza. Prima di continuare, assicurarsi di poter recuperare il nuovo documento did-configuration.json dalla rete Internet pubblica con un browser.

  7. Chiamare l'API validateWellKnownDidConfiguration per impostare lo stato del dominio collegato su verified.

Considerazioni successive all'aggiornamento

Tutte le attività di firma, ad esempio l'emissione di credenziali o l'esecuzione di richieste di presentazione, vengono ora firmate dalla nuova chiave P-256.

Le credenziali rilasciate prima dell'aggiornamento della chiave di firma sono firmate dalla chiave P-256K precedente. Queste credenziali continuano a funzionare purché nel documento DID siano presenti le chiavi P-256K precedenti. Quando arriva il momento di eseguire nuovamente queste credenziali, vengono firmate usando la nuova chiave P-256.

Alla fine, non si dispone di credenziali firmate dalla chiave precedente perché scadono tutte e quelle nuove vengono rilasciate. Se le credenziali hanno una durata prolungata prima della scadenza e si vuole interrompere l'uso della chiave P-256K precedente, è consigliabile indicare agli utenti di eseguire nuovamente l'operazione in anticipo.

Se si desidera rimuovere le chiavi P-256K precedenti dal documento DID, assicurarsi che gli utenti abbiano riemesso le credenziali. Disabilitare quindi le vecchie chiavi P-256K nel Key Vault e rigenerare e ridistribuire il documento DID.

Passaggi successivi