Outscale Key Management Service (OKMS) vous permet de gérer et contrôler entièrement vos clés de chiffrement.

Vous pouvez utiliser OKMS pour chiffrer et déchiffrer des données sensibles pour une utilisation dans les services 3DS OUTSCALE et pour vos propres besoins de développement dans vos applications.

Ce service est disponible en bêta, uniquement dans la Région eu-west-2.

Les sujets suivants sont abordés : 

Customer Master Keys

Les Customer Master Keys (CMK) sont les principales ressources logiques d'OKMS. Chaque compte 3DS OUTSCALE possède une CMK par défaut, qui ne peut pas être supprimée. Vous pouvez créer des CMK supplémentaires. Par défaut, votre compte possède un quota de 20 CMK.

Les CMK sont stockées sur des Modules de sécurité matériels (HSM) de Gemalto, qui sont des équipements spécialement sécurisés et conformes à la norme FIPS 140-2 niveau 3. Pour une sécurité maximale, une CMK ne quitte jamais son HSM.

Vous pouvez utiliser une CMK pour chiffrer et déchiffrer jusqu'à 4096 octets de données à la fois.

Chiffrement/déchiffrement avec OKMS


Data Keys et Customer Masker Keys

Les data keys sont des éléments cryptographiques aléatoires que vous pouvez générer à partir d'une CMK. Contrairement aux CMK, les data keys ne sont pas stockées par OKMS.

Vous pouvez utiliser des data keys pour chiffrer et déchiffrer de grandes quantités de données à l'aide de vos propres outils de chiffrement, en local, comme OpenSSL. Cette pratique de chiffrement de données à l'aide d'une data key, elle-même à son tour chiffrée par une CMK, est appelée chiffrement encapsulé.

Chiffrement/déchiffrement encapsulé avec OKMS

Les requêtes API associées aux data keys sont conçues de manière à vous permettre de chiffrer et déchiffrer des données sans jamais avoir besoin de stocker la version déchiffrée de la data key hors de la mémoire volatile de votre machine.

Assurez-vous de stocker la data key chiffrée sur un support de stockage permanent afin de pouvoir réaccéder à vos données. En revanche, chaque fois que vous déchiffrez une data key, assurez-vous d'effacer immédiatement de votre mémoire volatile la data key déchiffrée afin d'éviter de compromettre vos données.

Pour en savoir plus sur les requêtes API d'OKMS, voir le lien dans le panneau de Méthodes API correspondantes.


Contextes de chiffrement

Lorsque vous chiffrez des données avec une CMK ou lorsque vous générez une data key avec une CMK, vous pouvez spécifiez un ou plusieurs contextes de chiffrement. Les contextes de chiffrement sont des paires clé-valeur optionnelles de texte arbitraire que vous pouvez ajouter à l'opération cryptographique.

Pour déchiffrer des données ou une data key ayant été chiffrées avec des contextes de chiffrement, vous devez spécifier les mêmes contextes de chiffrement, sinon le déchiffrement échouera.

Assurez-vous de stocker vos contextes de chiffrement sur un support de stockage permanent afin de pouvoir réaccéder à vos données. En eux-mêmes, les contextes de chiffrement ne sont pas secrets et peuvent donc être stockés en texte brut sans risque.

Méthodes API correspondantes