Cifragem por envelope
O que é Cifragem por envelope?
Cifragem por envelopePadrao em que os dados sao cifrados por uma chave de dados rapida, que por sua vez e cifrada (encapsulada) por uma chave-mestra armazenada num KMS ou HSM.
A cifragem por envelope desacopla a cifragem simetrica de massa da custodia das chaves. Uma chave de cifragem de dados (DEK), tipicamente uma AES-256 nova por objeto, cifra o conteudo, e em seguida a DEK e cifrada por uma chave de cifragem de chaves (KEK) ou chave-mestra de longa duracao que nunca sai do KMS ou HSM. Apenas a DEK encapsulada e armazenada junto ao cifrado; a decifragem exige uma chamada ao KMS que desencapsula a DEK sob controlos IAM. Este padrao permite cifragem local rapida, chaves por inquilino ou por registo, rotacao barata (reencapsular a DEK em vez de recifrar dados) e auditoria clara. E a base de AWS KMS, Google Cloud KMS, S3 SSE-KMS e da maior parte da cifragem de armazenamento na nuvem.
● Exemplos
- 01
AWS KMS GenerateDataKey devolve uma DEK em claro e a sua versao encapsulada pelo KMS.
- 02
Google Cloud Storage CMEK usa cifragem por envelope com KEKs geridas pelo cliente.
● Perguntas frequentes
O que é Cifragem por envelope?
Padrao em que os dados sao cifrados por uma chave de dados rapida, que por sua vez e cifrada (encapsulada) por uma chave-mestra armazenada num KMS ou HSM. Pertence à categoria Criptografia da cibersegurança.
O que significa Cifragem por envelope?
Padrao em que os dados sao cifrados por uma chave de dados rapida, que por sua vez e cifrada (encapsulada) por uma chave-mestra armazenada num KMS ou HSM.
Como funciona Cifragem por envelope?
A cifragem por envelope desacopla a cifragem simetrica de massa da custodia das chaves. Uma chave de cifragem de dados (DEK), tipicamente uma AES-256 nova por objeto, cifra o conteudo, e em seguida a DEK e cifrada por uma chave de cifragem de chaves (KEK) ou chave-mestra de longa duracao que nunca sai do KMS ou HSM. Apenas a DEK encapsulada e armazenada junto ao cifrado; a decifragem exige uma chamada ao KMS que desencapsula a DEK sob controlos IAM. Este padrao permite cifragem local rapida, chaves por inquilino ou por registo, rotacao barata (reencapsular a DEK em vez de recifrar dados) e auditoria clara. E a base de AWS KMS, Google Cloud KMS, S3 SSE-KMS e da maior parte da cifragem de armazenamento na nuvem.
Como se defender contra Cifragem por envelope?
As defesas contra Cifragem por envelope costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Cifragem por envelope?
Nomes alternativos comuns: Cifragem encapsulada, Padrao DEK/KEK.
● Termos relacionados
- cryptography№ 588
Sistema de Gestao de Chaves
Servico centralizado que gera, armazena, rotaciona e audita chaves criptograficas em nome das aplicacoes, geralmente apoiado por modulos de seguranca em hardware.
- cryptography№ 589
Rotação de chaves
Substituição periódica das chaves criptográficas por novas para limitar o volume de dados protegidos por uma única chave e conter o impacto de um comprometimento.
- cryptography№ 023
AES-GCM
Modo de cifragem autenticada que combina AES em modo contador com uma etiqueta de autenticacao baseada em GHASH para confidencialidade e integridade num unico passo.
- cloud-security№ 124
Bring Your Own Key (BYOK)
Modelo de gestão de chaves em que o cliente gera ou importa as suas próprias chaves de cifragem para o KMS do fornecedor cloud, em vez de usar chaves criadas por este.