Cloud EKM simplifies cryptographic operations by relying on an external key manager. When you want to encrypt data with a symmetric encryption key, Cloud EKM initially encrypts it using its internal key material. This encrypted data is then sent to the external key manager through a request.
Here's how it works:
Data Encryption:
Cloud EKM encrypts your data internally using its own key material.
The encrypted data is sent to the external key manager (EKM) through a request.
External Key Encryption:
The EKM takes the encrypted data and adds an extra layer of encryption using its external key material.
The result is a ciphertext, which is then returned.
Dual-Key Requirement:
Data encrypted with a Cloud EKM key can only be decrypted with the external and internal key materials.
Additionally, if your organization uses Key Access Justifications, the external key management partner follows your policy. They record access justifications and complete requests only for allowed justification reason codes.
For those familiar with EHSM (external hardware security module), it's essentially a key management system based on physical premises, not internet-connected. Keys are stored and managed locally, ensuring access is limited to individuals physically on the premises. EHSM is similar to Cloud EKM, replacing the External Key Manager with an on-premises variant.
...
vereinfacht die kryptografischen Operationen, indem es sich auf einen externen Schlüsselmanager verlässt. Wenn Sie Daten mit einem symmetrischen Schlüssel verschlüsseln möchten, verschlüsselt Cloud EKM sie zunächst mit seinem internen Schlüsselmaterial. Diese verschlüsselten Daten werden dann über eine Anfrage an den externen Schlüsselmanager gesendet.
Und so funktioniert es:
Datenverschlüsselung:
Cloud EKM verschlüsselt Ihre Daten intern mit eigenem Schlüsselmaterial.
Die verschlüsselten Daten werden über eine Anfrage an den externen Schlüsselmanager (EKM) gesendet.
Externe Schlüsselverschlüsselung:
Der EKM nimmt die verschlüsselten Daten und fügt mit seinem externen Schlüsselmaterial eine zusätzliche Verschlüsselungsebene hinzu.
Das Ergebnis ist ein Chiffretext, der dann zurückgegeben wird.
Zwei-Schlüssel-Anforderung:
Mit einem Cloud-EKM-Schlüssel verschlüsselte Daten können nur mit dem externen und internen Schlüsselmaterial entschlüsselt werden.
Wenn Ihre Organisation Schlüsselzugriffsberechtigungen verwendet, befolgt der externe Schlüsselverwaltungspartner Ihre Richtlinie. Er zeichnet Zugriffsberechtigungen auf und schließt Anfragen nur für zulässige Rechtfertigungsgründe ab.
Für diejenigen, die mit EHSM (External Hardware Security Module) vertraut sind: Es handelt sich im Wesentlichen um ein Schlüsselverwaltungssystem, das auf physischen Räumlichkeiten basiert und nicht mit dem Internet verbunden ist. Die Schlüssel werden lokal gespeichert und verwaltet, so dass der Zugang auf Personen beschränkt ist, die sich physisch vor Ort befinden. EHSM ähnelt dem Cloud-EKM, wobei der externe Schlüsselmanager durch eine Variante vor Ort ersetzt wird.
| Note |
|---|
Vorsicht: Sowohl die Cloud-EKM-Schlüsselversion als auch der externe Schlüssel sind für jede Anfrage zur Ver- und Entschlüsselung erforderlich. Wenn Sie den Zugang zu einem der beiden Schlüssel verlieren, können Ihre Daten nicht wiederhergestellt werden. Es ist unmöglich, eine identische Cloud EKM-Schlüsselversion mit demselben externen Schlüssel-URI oder Schlüsselpfad neu zu erstellen. |
