Сведения о ключах

Azure Key Vault предоставляет два типа ресурсов для хранения криптографических ключей и управления ими. Хранилища поддерживают ключи, защищенные с помощью программного обеспечения, и ключи, защищенные с помощью HSM (модуля аппаратной безопасности). Управляемые модули HSM поддерживают только ключи, защищенные HSM.

Тип ресурса Методы защиты ключа Базовый URL-адрес конечной точки в плоскости данных
Хранилища Защищенные программным обеспечением и защищенные HSM (типы ключей HSM в SKU класса Premium) https://<vault-name>.vault.azure.net
Управляемые модули HSM Защищенные модулем HSM https://<hsm-name>.managedhsm.azure.net
  • Хранилища — это недорогие, простые в развертывании, многоклиентские, устойчивые к отказу зоны (если доступно) и высокодоступные решения для управления ключами, которые отлично подходят для наиболее распространенных сценариев облачных приложений.
  • Управляемые HSM — Управляемый HSM предоставляет однотенантные высокодоступные HSM для хранения криптографических ключей и управления ими. Они лучше всего подходят для приложений и сценариев использования с особо ценными ключами. Также они помогают соблюдать наиболее строгие стандарты безопасности, условия соответствия и нормативные требования.

Примечание.

В этой статье описываются ключи в Key Vault (хранилища). Дополнительные сведения о Managed HSM см. в разделах О ключах в Managed HSM и Типы ключей, алгоритмы и операции (Managed HSM).

Примечание.

Хранилища также позволяют хранить и администрировать не только криптографические ключи, но и объекты других типов, например секреты, сертификаты и ключи учетной записи хранения.

Ключи шифрования в Key Vault представлены объектами веб-ключей JSON (JWK). Спецификации JavaScript Object Notation (JSON) и JavaScript Object Signing and Encryption (JOSE) такие:

Базовые спецификации JWK/JWA также расширены для включения типов ключей, уникальных для реализации Azure Key Vault.

Ключи HSM в хранилищах защищены с использованием HSM. Ключи программного обеспечения не защищены с использованием HSM.

Ключи, хранящиеся в криптографических хранилищах, получают надежную защиту благодаря сертифицированным модулям HSM по стандарту FIPS 140. Доступны две разные платформы HSM: платформа HSM 1, которая защищает ключевые версии с помощью FIPS 140-2 уровня 2 и HSM Platform 2, которая защищает ключи с помощью FIPS 140-3 уровня 3 HSM в зависимости от того, когда был создан ключ. Теперь все новые ключи и версии ключей создаются с помощью HSM Platform 2. Чтобы определить, какая платформа HSM защищает версию ключа, получите его атрибут hsmPlatform .

Дополнительные сведения о географических границах см. в разделе Microsoft Azure Центре управления безопасностью.

Типы ключей и методы защиты

Key Vault Premium и Standard поддерживают ключи RSA и EC. Для симметричных ключей (oct-HSM / AES) используйте Managed HSM.

Защищенные HSM ключи (Key Vault Premium)

Тип ключа Размеры и кривые
EC-HSM: ключ эллиптической кривой. P-256, P-384, P-521, secp256k1/P-256K
RSA-HSM: ключ RSA 2048 бит, 3072 бит, 4096 бит

Ключи, защищенные программным обеспечением (Key Vault категории "Стандартный" и "Премиум")

Тип ключа Размеры и кривые
RSA: ключ RSA, защищенный программным обеспечением 2048-битный, 3072-битный, 4096-битный
EC: ключ эллиптической кривой, защищенный программным обеспечением P-256, P-384, P-521, secp256k1/P-256K

Сведения о поддержке Managed HSM см. в разделе О ключах в Managed HSM.

Соответствие нормативным требованиям

Тип и назначение ключа Соответствие нормативным требованиям
Ключи, защищенные программным обеспечением (HSM Platform 0), в сейфах FIPS 140-2 уровня 1
Защищенные ключи на платформе HSM 1 в хранилищах (SKU уровня "Премиум") FIPS 140-2 Уровень 2
Защищенные ключи HSM Platform 2 в хранилищах (SKU уровня "Премиум") Уровень 3 FIPS 140-3

Квантовые устойчивые, квантовые безопасные или пост-квантовые криптографии

Криптография "квантово-устойчивой", "квантово-безопасной" и "пост-квантовой" — все эти термины используются для описания криптографических алгоритмов, которые, как считается, устойчивы к криптоаналитическим атакам как со стороны классических, так и квантовых компьютеров. 256-битные ключи oct-HSM, используемые с алгоритмами AES, предлагаемыми Managed HSM, устойчивы к квантовым атакам. Дополнительные сведения см. в статье "Коммерческий алгоритм национальной безопасности" 2.0 и вопросы и ответы о квантовых вычислениях.

Подробные сведения о типах ключей, алгоритмах, операциях, атрибутах и тегах см. в статье Типы ключей, алгоритмы и операции.

Сценарии использования

Когда использовать Примеры
Шифрование данных на стороне сервера Azure для интегрированных поставщиков ресурсов с ключами, управляемыми клиентом - Шифрование на стороне сервера с помощью управляемых пользователем ключей в Azure Key Vault
Шифрование данных на стороне клиента - Шифрование на стороне клиента с использованием Azure Key Vault
Протокол TLS без ключей Используйте основные клиентские библиотеки

Следующие шаги