Der Key Management Service ermöglicht die Ver‐ und Entschlüsselung von Daten, sowie der Verwaltung, Erstellung und Löschung von Schlüsseln. Alternativ zu einem durch die Open Telekom Cloud generierten Schlüssel, kann der Kunde einen eigenen Schlüssel (Bring Your Own Key) nutzen. Alle Schlüssel werden zum Schutz in einem Hardware‐ Sicherheitsmodul abgelegt.
In diesem neuen Update sind folgenden Änderungen enthalten:
- Geänderte Benutzeroberfläche
- „Create Key“ wird nun für die Schlüsselerstellung und den Schlüsselimport verwendet (Origin = KMS oder External).
- Bei der Erstellung eines Schlüssels: Neue Schlüsselalgorithmen für die Verwendung von „GENERATE_VERIFY_MAC“ (mehr dazu siehe unten)
- Bei der Löschung eines Schlüssels: Zur Bestätigung der Löschung muss der Benutzer zusätzlich „DELETE“ eingeben.
- Informationen über einen Schlüssel: Neuer Tab „Basic Information“, Neuer Tab „Alias“ (mehr dazu siehe unten)
- Neue Funktion: Aliases in KMS
- Ein Alias ist ein benutzerfreundlicher Name für einen KMS-Schlüssel. Mit einem Alias können Sie beispielsweise auf einen KMS-Schlüssel als „alias/test-key“ statt als „1bbae24d-849c-4691-87e4-dcca4fc8c1e2“ verweisen.
- Sie können den Alias als Schlüssel-ID beim API-Aufruf verwenden.
- Neue Schlüsselalgorithmen HMAC_256, HMAC_384 und HMAC_512
- Hash-Based Message Authentication Code (HMAC) KMS-Schlüssel sind symmetrische Schlüssel, mit denen Sie HMACs innerhalb von KMS generieren und verifizieren. Das eindeutige Schlüsselmaterial jedes HMAC-KMS-Schlüssels liefert den geheimen Schlüssel, den HMAC-Algorithmen benötigen. Mit einem HMAC-KMS-Schlüssel können Sie die Integrität und Authentizität von Daten überprüfen.
- HMAC-Algorithmen kombinieren eine kryptografische Hashfunktion mit einem gemeinsamen geheimen Schlüssel. Sie verarbeiten eine Nachricht und einen geheimen Schlüssel, beispielsweise das Schlüsselmaterial eines HMAC-KMS-Schlüssels, und geben einen eindeutigen Code oder Tag fester Größe zurück. Ändert sich auch nur ein einziges Zeichen der Nachricht oder ist der geheime Schlüssel nicht identisch, ist der resultierende Tag völlig anders. Durch die Anforderung eines geheimen Schlüssels gewährleistet HMAC auch Authentizität; ohne den geheimen Schlüssel ist es unmöglich, einen identischen HMAC-Tag zu generieren.
- Mit HMAC-KMS-Schlüsseln können Sie die Authentizität einer Nachricht, beispielsweise eines JSON Web Token (JWT), tokenisierter Kreditkarteninformationen oder eines übermittelten Passworts, feststellen. Sie können auch als sichere Schlüsselableitungsfunktionen (KDFs) verwendet werden, insbesondere in Anwendungen, die deterministische Schlüssel erfordern.
- HMAC-KMS-Schlüssel bieten gegenüber HMACs aus Anwendungssoftware einen Vorteil, da das Schlüsselmaterial vollständig innerhalb des KMS generiert und verwendet wird und den von Ihnen für den Schlüssel festgelegten Zugriffssteuerungen unterliegt.
- HMAC-KMS-Schlüssel unterstützen nur die kryptografischen Operationen „GenerateMac“ und „VerifyMac“. Sie können HMAC-KMS-Schlüssel nicht zum Verschlüsseln von Daten oder Signieren von Nachrichten verwenden oder andere KMS-Schlüsseltypen in HMAC-Operationen verwenden.
- HMAC-KMS-Schlüssel unterstützen keine automatische Schlüsselrotation.
- Wenn Sie einen KMS-Schlüssel zur Verschlüsselung von Daten in einem OTC-Dienst erstellen, verwenden Sie einen symmetrischen Verschlüsselungsschlüssel. Die Verwendung eines HMAC-KMS-Schlüssels ist nicht möglich.