О ключах в управляемом модуле HSM

Azure Key Vault Managed HSM — это полностью управляемая, высокодоступная облачная служба с одним клиентом, использующая FIPS 140-3 уровня 3 проверенные аппаратные модули безопасности для защиты криптографических ключей. Все ключи в экземпляре Managed HSM защищены с помощью HSM; Managed HSM не хранит ключи, защищенные программным обеспечением.

Каждый управляемый экземпляр HSM — это изолированный пул с одним клиентом с собственным доменом безопасности, который обеспечивает полную криптографическую изоляцию от всех остальных экземпляров управляемого устройства HSM, использующих одно и то же базовое оборудование. Базовый URL-адрес конечной точки плоскости данных для экземпляра управляемого HSM: https://<hsm-name>.managedhsm.azure.net.

Криптографические ключи в Управляемом HSM представлены в виде объектов веб-ключа JSON (JWK), как определено в следующих спецификациях:

Базовые спецификации JWK/JWA расширены, чтобы включить типы ключей, уникальные для реализации управляемого устройства HSM.

Поддерживаемые типы ключей и размеры

Тип ключа Размеры и кривые
RSA-HSM — ключ RSA 2048-разрядная, 3072-разрядная, 4096-разрядная
EC-HSM — ключ эллиптической кривой P-256, P-256K (secp256k1), P-384, P-521
oct-HSM — симметричный ключ (AES) 128-разрядная, 192-разрядная, 256-разрядная

Ключи можно создавать непосредственно в управляемом экземпляре HSM, импортировать ключи RSA или EC из PEM-файла или безопасно передавать ключи (RSA, EC или oct-HSM) из поддерживаемой локальной среды HSM с помощью спецификации BYOK (принести собственный ключ). Дополнительные сведения см. в разделе Управление ключами в управляемом HSM и статье Импорт ключей, защищенных HSM, в управляемый HSM (BYOK).

Дополнительные сведения о поддерживаемых алгоритмах, операциях, атрибутах и тегах см. в разделах "Типы ключей", "Алгоритмы" и "Операции".

Compliance

Все ключи в Managed HSM защищены модулем HSM на аппаратном обеспечении, прошедшем валидацию по стандарту FIPS 140-3 уровня 3. Доступен только один уровень защиты; Managed HSM не поддерживает несколько платформ HSM или вариант с программной защитой. Дополнительные сведения о аппаратной среде, проверенных стандартах (FedRAMP-High, PCI, SOC 1/2/3, ISO 270x) и более широкой программе соответствия требованиям Azure см. в разделе Управляемые технические сведения HSM.

Криптография, устойчивая к квантовым вычислениям

«Квантово-устойчивая», «квантово-безопасная» и «постквантовая» криптография — это термины, используемые для описания криптографических алгоритмов, которые, как считается, устойчивы к криптоаналитическим атакам со стороны как классических, так и квантовых компьютеров. 256-битные ключи oct-HSM, используемые с алгоритмами AES, предлагаемыми Managed HSM, устойчивы к квантовым атакам. Дополнительные сведения см. в статье "Коммерческий алгоритм национальной безопасности" 2.0 и вопросы и ответы о квантовых вычислениях.

Аттестация ключей

Managed HSM может удостоверить, что ключ был создан и находится внутри HSM, которым управляет Microsoft. Асимметричные ключи получают аттестацию открытого и закрытого ключей; Симметричные ключи (oct-HSM) получают только аттестацию закрытого ключа. Дополнительные сведения см. в разделе "Проверка управляемых ключей HSM с аттестацией ключей".

Сценарии использования

Когда использовать Examples
Azure шифрование данных на стороне сервера с помощью ключей, управляемых клиентом Серверное шифрование с помощью ключей, управляемых клиентом, в Azure Key Vault
Шифрование данных на стороне клиента Шифрование на стороне клиента с использованием Azure Key Vault
Протокол TLS без ключей Библиотека разгрузки управляемого протокола TLS HSM