Chiffrement par enveloppe
Qu'est-ce que Chiffrement par enveloppe ?
Chiffrement par enveloppeModele ou les donnees en masse sont chiffrees par une cle rapide, elle-meme chiffree (encapsulee) par une cle maitre stockee dans un KMS ou un HSM.
Le chiffrement par enveloppe decouple le chiffrement symetrique de masse de la conservation des cles. Une cle de chiffrement de donnees (DEK), generalement une AES-256 frache par objet, chiffre la charge utile, puis la DEK est elle-meme chiffree par une cle de chiffrement de cles (KEK), dite cle maitre, qui ne quitte jamais le KMS ou le HSM. Seule la DEK encapsulee est conservee aupres du chiffre ; le dechiffrement necessite un appel au KMS qui desencapsule la DEK sous controle IAM. Ce modele autorise un chiffrement local rapide, des cles par tenant ou par enregistrement, une rotation peu couteuse (on reenvelope la DEK, pas les donnees) et des journaux d'audit clairs. Il est a la base d'AWS KMS, Google Cloud KMS, S3 SSE-KMS et de la plupart des chiffrements de stockage cloud.
● Exemples
- 01
AWS KMS GenerateDataKey renvoie une DEK en clair et sa version encapsulee par KMS.
- 02
Google Cloud Storage CMEK utilise le chiffrement par enveloppe avec KEK gerees par le client.
● Questions fréquentes
Qu'est-ce que Chiffrement par enveloppe ?
Modele ou les donnees en masse sont chiffrees par une cle rapide, elle-meme chiffree (encapsulee) par une cle maitre stockee dans un KMS ou un HSM. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie Chiffrement par enveloppe ?
Modele ou les donnees en masse sont chiffrees par une cle rapide, elle-meme chiffree (encapsulee) par une cle maitre stockee dans un KMS ou un HSM.
Comment fonctionne Chiffrement par enveloppe ?
Le chiffrement par enveloppe decouple le chiffrement symetrique de masse de la conservation des cles. Une cle de chiffrement de donnees (DEK), generalement une AES-256 frache par objet, chiffre la charge utile, puis la DEK est elle-meme chiffree par une cle de chiffrement de cles (KEK), dite cle maitre, qui ne quitte jamais le KMS ou le HSM. Seule la DEK encapsulee est conservee aupres du chiffre ; le dechiffrement necessite un appel au KMS qui desencapsule la DEK sous controle IAM. Ce modele autorise un chiffrement local rapide, des cles par tenant ou par enregistrement, une rotation peu couteuse (on reenvelope la DEK, pas les donnees) et des journaux d'audit clairs. Il est a la base d'AWS KMS, Google Cloud KMS, S3 SSE-KMS et de la plupart des chiffrements de stockage cloud.
Comment se défendre contre Chiffrement par enveloppe ?
Les défenses contre Chiffrement par enveloppe combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Chiffrement par enveloppe ?
Noms alternatifs courants : Chiffrement encapsule, Modele DEK/KEK.
● Termes liés
- cryptography№ 588
Systeme de gestion de cles
Service centralise qui genere, stocke, fait tourner et audite les cles cryptographiques pour le compte des applications, generalement adosse a des modules de securite materiels.
- cryptography№ 589
Rotation de clés
Remplacement périodique des clés cryptographiques par de nouvelles afin de limiter le volume de données protégées par une seule clé et de contenir l'impact d'une compromission.
- cryptography№ 023
AES-GCM
Mode de chiffrement authentifie combinant AES en mode compteur avec une etiquette d'authentification basee sur GHASH pour assurer confidentialite et integrite en une passe.
- cloud-security№ 124
Bring Your Own Key (BYOK)
Modèle de gestion de clés où le client génère ou importe ses propres clés de chiffrement dans le KMS du fournisseur cloud plutôt que d'utiliser celles générées par lui.