استيراد مفاتيح محمية من HSM إلى HSM (BYOK) المُدار

يدعم Azure Key Vault Managed HSM استيراد المفاتيح التي تم إنشاؤها في وحدة أمان الأجهزة المحلية (HSM)؛ لن تترك المفاتيح أبدًا حدود حماية HSM. غالبا ما يشار إلى هذا السيناريو خدمة إنشاء مفتاحك(BYOK). يستخدم HSM المُدار محولات Marvell LiquidSecurity HSM (تم التحقق منFIPS 140-2 المستوى 3) لحماية مفاتيحك.

استخدم المعلومات الواردة في هذه المقالة لمساعدتك على التخطيط لمفاتيحك المحمية من HSM وإنشائها ونقلها لاستخدامها مع HSM المُدار.

إشعار

هذه الوظيفة غير متوفرة ل Microsoft Azure المشغل بواسطة 21Vianet. يتوفر أسلوب الاستيراد هذا فقط من أجل HSMs المدعوم.

لمزيد من المعلومات، وللبدء في البرنامج التعليمي باستخدام HSM المُدار، راجع ما هو HSM المُدار؟.

نظرة عامة

فيما يلي نظرة عامة على العملية. وسيتم وصف الخطوات المحددة لإكمالها لاحقًا في المقالة.

• في HSM المُدار، قم بإنشاء مفتاح (يشار إليه باسم Key Exchange Key (KEK)). ينبغي أن يكون KEK مفتاح RSA-HSM الذي يحتوي على import العملية الرئيسية فقط.
• قم بتنزيل المفتاح العام KEK كملف .pem.
• انقل مفتاح KEK العام إلى كمبيوتر غير متصل حيث يكون متصلاً بـ HSM محلي.
• في الكمبيوتر غير المتصل، استخدم أداة BYOK التي يوفرها بائع HSM لإنشاء ملف BYOK.
• يتم تشفير المفتاح الهدف باستخدام KEK، والذي يبقى مشفرا حتى يتم نقله إلى HSM المدار. تترك النسخة المشفرة من مفتاحك HSM الداخلي فقط.
• KEK الذي تم إنشاؤه داخل HSM المدار غير قابل للتصدير. تفرض HSMs القاعدة التي تنص على عدم وجود نسخة واضحة من KEK خارج HSM المُدار.
• ينبغي أن يكون KEK في HSM المُدار نفسه حيث سيتم استيراد المفتاح المستهدف.
• وعندما يتم تحميل ملف BYOK إلى HSM المُدار، يستخدم HSM المُدار مفتاح KEK الخاص لفك تشفير مادة المفتاح المستهدف واستيرادها كمفتاح HSM. وتحدث هذه العملية بالكامل داخل HSM. ويظل المفتاح الهدف دائمًا في حدود حماية HSM.

المتطلبات الأساسية

لاستخدام أوامر Azure CLI في هذه المقالة، يجب أن يتوفر لديك العناصر التالية:

• اشتراك في منصة Microsoft Azure. إذا لم يكن لديك واحداً، يُمكنك الاشتراك في الإصدار التجريبي المجاني.
• إصدار Azure CLI 2.12.0 أو أحدث. قم بتشغيل az --version للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.
• إن HSM المُدار هو قائمة HSMs المدعومة في اشتراكك. راجع Quickstart: Provision and activate a managed HSM using Azure CLI لتوفير HSM المُدار وتنشيطه.

Azure Cloud Shell

Azure يستضيف Azure Cloud Shell، بيئة تفاعلية يمكن استخدامها من خلال المستعرض. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقًا لتشغيل التعليمات البرمجية في هذه المقالة دون الحاجة إلى تثبيت أي شيء على البيئة المحلية.

لبدء Azure Cloud Shell:

خيار	مثال/ رابط
انقر فوق ⁧⁩جربه⁧⁩ في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. تحديد ⁧⁩جربه⁧⁩ لا يقوم بنسخ التعليمة البرمجية أو الأمر تلقائيًا إلى Cloud Shell.
انتقل إلى ⁧⁩⁧ https://shell.azure.com⁩⁧⁩، أو حدد زر ⁩تشغيل Cloud Shell لفتح Cloud Shell في المتصفح لديك.
حدد زر Cloud Shell على شريط القوائم في أعلى اليمين في مدخل Microsoft Azure.

لاستخدام Azure Cloud Shell:

1. ابدأ تشغيل Cloud Shell.

2. حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.

3. ألصق التعليمة البرمجية أو الأمر في جلسة Cloud Shell بتحديد Ctrl+Shift+Vعلى Windows وLunix، أو بتحديد Cmd+Shift+Vعلى macOS.

4. حدد Enter لتشغيل التعليمات البرمجية أو الأمر.

لتسجيل الدخول إلى Azure باستخدام CLI، اكتب:

az login

لمزيد من المعلومات حول خيارات تسجيل الدخول عبر CLI، ألق نظرة على تسجيل الدخول باستخدام Azure CLI

Supported HSMs

اسم المورّد	نوع البائع	نماذج HSM المدعومة	مزيد من المعلومات
التشفير	ISV (نظام إدارة مفتاح المؤسسة)	العديد من ماركات ونماذج HSM بما في ذلك nCipher Thales Utimaco راجع موقع Cryptomathic للحصول على التفاصيل
إيداع	الشركة المُصنّعة، HSM كخدمة	عائلة nShield من HSM nShield كخدمة	أداة ووثائق nCipher new BYOK
Fortanix	الشركة المُصنّعة، HSM كخدمة	خدمة إدارة المفاتيح ذاتية الدفاع (SDKMS) Equinix SmartKey	تصدير مفاتيح SDKMS إلى موفري السحابة لـ BYOK - Azure Key Vault
IBM	الشركة المصنعة	IBM 476x, CryptoExpress	IBM Enterprise Key Management Foundation
Marvell	الشركة المصنعة	جميع LiquidSecurity HSMs مع إصدار البرنامج الثابت 2.0.4 أو أقدم إصدار البرنامج الثابت 3.2 أو أحدث	أداة ووثائق Marvell BYOK
Securosys SA	الشركة المُصنّعة، HSM كخدمة	عائلة Primus HSM ،Securosys Clouds HSM	أداة ووثائق Primus BYOK
StorMagic	ISV (نظام إدارة مفتاح المؤسسة)	العديد من ماركات ونماذج HSM بما في ذلك Utimaco Thales nCipher راجع موقع StorMagic للحصول على التفاصيل	SvKMS وAzure Key Vault BYOK
Thales	الشركة المصنعة	عائلة Luna HSM 7 مع إصدار البرنامج الثابت 7.3 أو أحدث	أداة ووثائق Luna BYOK
Utimaco	الشركة المُصنّعة، HSM كخدمة	u.trust Anchor, CryptoServer	أداة Utimaco BYOK ودليل التكامل

أنواع المفاتيح المدعومة

اسم المفتاح	نَوع المفتاح	حجم/ منحنى المفتاح	الأصل	‏‏الوصف
Key Exchange Key (KEK)	RSA-HSM	2048 بت 3072 بت 4096 بت	HSM مُدار	زوج مفاتيح RSA مدعوم من HSM تم إنشاؤه في HSM المُدار
Target key
	RSA-HSM	2048 بت 3072 بت 4096 بت	بائع HSM	المفتاح الذي سيتم نقله إلى HSM المُدار
	EC-HSM	P-256 P-384 P-521	بائع HSM	المفتاح الذي سيتم نقله إلى HSM المُدار
	مفتاح متماثل (oct-hsm)	128 بت 192 بت 256 بت	بائع HSM	المفتاح الذي سيتم نقله إلى HSM المُدار

إنشاء مفتاحك ونقله إلى HSM المُدار

لإنشاء مفتاحك ونقله إلى HSM المُدار:

• الخطوة 1: إنشاء KEK
• الخطوة 2: تنزيل المفتاح العام KEK
• الخطوة 3: إنشاء المفتاح الخاص بك وإعداده للنقل
• الخطوة 4: نقل المفتاح إلى HSM المُدار

الخطوة 1: إنشاء KEK

KEK هو مفتاح RSA يتم إنشاؤه في HSM المُدار. يستخدم KEK لتشفير المفتاح الذي تريد استيراده (target key).

ينبغي أن يكون KEK:

• مفتاح RSA-HSM (2048 بت، أو 3072 بت، أو 4096 بت)
• تم إنشاؤه في نفس HSM المُدار حيث تنوي استيراد المفتاح المستهدف
• تم إنشاؤه باستخدام عمليات المفتاح المسموح بها التي تم تعيينها إلى import

إشعار

ينبغي أن يكون لـ KEK "استيراد" باعتباره عملية المفتاح الوحيدة المسموح بها. يعتبر "الاستيراد" حصري بشكل متبادل مع جميع العمليات الرئيسية الأخرى.

استخدم الأمرaz keyvault key create لإنشاء KEK حيث تم تعيين عمليات المفاتيح علي import. سجل معرف المفتاح (kid) الذي تم إرجاعه من الأمر التالي. (ستستخدم القيمة في kidالخطوة 3.)

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

---

الخطوة 2: تنزيل المفتاح العام KEK

استخدم تنزيل مفتاح az keyvaultلتنزيل المفتاح العام KEK إلى ملف .pem. تشفير المفتاح المستهدف الذي تقوم باستيراده باستخدام المفتاح العام KEK.

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

---

نقل الملف KEKforBYOK.publickey.pem إلى الكمبيوتر دون اتصال. سوف تكون بحاجة إلى هذا الملف في الخطوة التالية.

الخطوة 3: إنشاء المفتاح الخاص بك وإعداده للنقل

راجع وثائق مورد HSM لتنزيل أداة BYOK وتثبيتها. اتبع الإرشادات من مورد HSM لإنشاء مفتاح مستهدف، ثم قم بإنشاء حزمة نقل مفتاح (ملف BYOK). ستستخدم الأداة BYOK kid من الخطوة 1 وملف KEKforBYOK.publickey.pem الذي قمت بتنزيله في الخطوة 2 لإنشاء مفتاح مستهدف مشفر في ملف BYOK.

قم بنقل الملف BYOK إلى الكمبيوتر المتصل.

إشعار

استيراد مفاتيح RSA 1024 بت غير مدعوم. يتم دعم استيراد مفاتيح EC-HSM P256K.

المشكلة المعروفة: يتم دعم استيراد المفتاح المستهدف RSA 4K من Luna HSMs فقط مع البرامج الثابتة 7.4.0 أو أحدث.

الخطوة 4: نقل المفتاح إلى HSM المُدار

لإكمال استيراد المفتاح، قم بنقل حزمة نقل المفتاح (ملف BYOK) من الكمبيوتر الذي تم قطع الاتصال به إلى الكمبيوتر المتصل بالإنترنت. استخدم الأمر استيراد مفتاح az keyvault لتحميل ملف BYOK إلى HSM المُدار.

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

إذا كان التحميل ناجحا، يعرض Azure CLI خصائص المفتاح المستورد.

الخطوات التالية

يمكنك الآن استخدام هذا المفتاح المحمي من HSM في HSM المُدار. لمزيد من المعلومات، راجع مقارنة الأسعار والميزات هذه.