【发布时间】:2019-05-15 11:37:12
【问题描述】:
我必须在 Azure 密钥库中配置 RSA HSM 公钥和私钥,并以加密形式保存数据。
【问题讨论】:
标签: asp.net-mvc azure-active-directory azure-keyvault hsm rsacryptoserviceprovider
【发布时间】:2019-05-15 11:37:12
【问题描述】:
为了增加保证,当你使用 Azure Key Vault 时,你可以在硬件安全模块 (HSM) 中导入或生成永远不会离开 HSM 边界的密钥。这种情况通常被称为自带密钥或 BYOK。 HSM 已通过 FIPS 140-2 2 级验证。 Azure Key Vault 使用 nCipher nShield 系列 HSM 来保护您的密钥。
有关在 Internet 上生成和传输受 HSM 保护的密钥的更多信息:
- 您从离线工作站生成密钥,从而减少了攻击面。
- 密钥使用密钥交换密钥 (KEK) 进行加密,在传输到 Azure Key Vault HSM 之前,该密钥将保持加密状态。只有您的密钥的加密版本会离开原始工作站。
- 该工具集设置租户密钥的属性,将您的密钥绑定到 Azure Key Vault 安全世界。因此,在 Azure Key Vault HSM 接收并解密您的密钥后,只有这些 HSM 可以使用它。您的密钥无法导出。此绑定由 nCipher HSM 强制执行。
- 用于加密密钥的密钥交换密钥 (KEK) 在 Azure Key Vault HSM 内生成,不可导出。 HSM 强制要求在 HSM 之外不能有明确的 KEK 版本。此外,该工具集还包括来自 nCipher 的证明,即 KEK 不可导出,并且是在 nCipher 制造的真正 HSM 中生成的。
- 该工具集包括来自 nCipher 的证明,即 Azure Key Vault 安全世界也是在 nCipher 制造的真正 HSM 上生成的。此证明向您证明 Microsoft 使用的是正版硬件。
- Microsoft 在每个地理区域使用单独的 KEK 和单独的安全世界。这种分离可确保您的密钥只能在您对其进行加密的区域的数据中心中使用。例如,来自欧洲客户的密钥不能用于北美或亚洲的数据中心。
如需实现自带密钥(BYOK),请访问here
希望对你有帮助。
【讨论】: