Les services de chiffrement d’IBM : Key Protect, Cloud HSM 7.0 et Hyper Crypto Services

Après avoir exploré les offres de chiffrement d’AWS, Microsoft et Google, nous explorons le catalogue d’IBM. Le fournisseur propose trois services. Le premier repose sur une architecture multitenant, le deuxième sur des partitions virtuelles isolées sur des HSM maison mutualisés et le troisième sur des HSM monolocataires.

IBM Key Protect est un KMS basé sur le cloud afin de gérer les clés de chiffrement et leur cycle de vie, pour les services IBM Cloud et les applications développées par les clients de Big Blue.

Suite de l'article ci-dessous

Big Blue entend faire bénéficier à ses utilisateurs des « racines de confiance » basées sur des modules HSM (« Hardware Security Module ») FIPS 140-2 de niveau 3. Pour cela, il faut coupler l’API REST compatible avec un large ensemble de langages de programmation et le service de gestion d’accès IBM Cloud IAM. Avec l’API, il est possible d’associer des métadonnées clé-valeur pour identifier les clés (un nom, une description et une étiquette) qu’il faut utiliser avec prudence (ne pas désigner la fonction exacte de la clé, mais utiliser un référentiel maison semble une bonne pratique).

IBM Key Protect

IBM Key Protect permet de gérer deux types de clés symétriques : les clés racines, équivalents des clés CMK qui protègent un trousseau, et les clés standards. Là encore, il est possible d’importer ses propres clés. L’on peut chiffrer des enveloppes contenant la clé racine et la clé standard qui chiffrent les données en plus des fichiers eux-mêmes.

Toutes les clés dans IBM Key Protect sont générées à partir de l’algorithme AES-CBC-PAD 256. Key Protect repose sur une architecture multitenant régionale (au sens cloud du terme). Les ressources sont isolées dans un environnement d’exécution sécurisée partagé dans une région cloud multizone. Les différentes instances s’exécutent sur des clusters et des containers partagés. IBM assure que les requêtes API sont exécutées dans un contexte de sécurité spécifique à chaque client et à leurs utilisateurs.

Avec IBM Key Protect, les 20 premières clés sont gratuites, puis les 1 000 suivantes coûtent 0,75 dollar (0,63 euro) par clé par mois. Il faut payer 0,60 dollar (0,51 euro) par mois par clé jusqu’à 9 000 clés et 0,50 dollar (0,42 euro) au-delà.

Avec Hyper Protect Crypto Services, IBM respecte le plus haut niveau de conformité FIPS 140-2

Hyper Protect Crypto Services est un service associé à un HSM Cloud certifié Common Criteria Part 3 EAL 4 et FIPS 140-2 niveau 4, le plus haut niveau de conformité aux exigences de sécurité d’une banque proposée par un fournisseur cloud (ce niveau ajoute une protection physique et électrique aux compromissions humaines ou environnementales). Il s’intègre à l’API IBM Key Protect for IBM Cloud, qui permet de générer et chiffrer les clés.

Avec l’approche KYOK (Keep Your Own Key), IBM assure que le client peut lui-même administrer les clés et que ses propres administrateurs n’ont pas accès aux précieux sésames. L’accès à distance est possible via l’API EP11 (PKSCS #11) et des infrastructures utilisant le framework gRPC. IBM utilise ses propres HSM de la gamme Crypto Express associés à la plateforme LinuxOne (les modèles IBM 4767 ou Crypto Express5S, 4768 ou Crypto Express6S, et 4 769 ou CryptoExpress 7S respectent les normes citées ci-dessus). Là encore, les partitions virtuelles sont isolées sur des containers spécifiques. Chaque application ou service dispose de son magasin de clés dédié.

L’initialisation des instances peut se faire via le gestionnaire fourni dans le service ou avec IBM Cloud Trusted Key Entry (TKE). Le HSM permet de générer des clés standard et d’encapsulage AES-GCM 256 bits pour les clés racines 128, 192 ou 256 bits. De même pour les clés DEK. Il est possible d’importer des clés de même type. Ici, il n’est question de ne gérer que des clés symétriques. Par ailleurs, IBM précise que cette solution est conseillée pour protéger des bases de données ou des environnements VMware.

Comme AWS avec son offre CloudHSM, il est recommandé d’allouer au minimum deux unités « Crypto » dans une même région cloud à des fins de haute disponibilité. Chaque unité (contenant les environnements KMS et HSM) coûte 1 505 dollars par mois. Ce prix donne le droit à 1 million d’appels API. Si un client dépasse ce seuil, il sera facturé 0,01 dollar par mois tous les 10 000 appels.

IBM Cloud Hardware Security Module, un HSM monolocataire

De son côté, IBM Cloud Hardware Security Module 7,0 est un HSM dédié à un locataire unique, certifié FIPS 140-2 de niveau 3 qui peut être hébergé soit en Asie du Sud Est ou aux États-Unis (disponible dans 60 centres de données IBM).

Pour proposer ce service, IBM se repose sur la gamme de HSM SafeNet Luna de Gemalto. C’est ce module qui permet chez IBM d’effectuer des signatures numériques, du chiffrement de base de données, d’appliquer des DRM, ou encore de protéger des transactions financières.

IBM Cloud HSM 7.0 permet de générer des clés asymétriques RSA 2048, 4 096 et 8 192 bits. Il est également possible d’accéder à des clés ECDSA P256, 384, 521 et BrainPool512r1.

Pour le chiffrement symétrique, le HSM en question supporte les clés AES128, 256, DES, et 3DES. Il supporte 10 000 opérations RSA et 20 000 pour le chiffrement ECC.

Pour chaque type de chiffrement, Big Blue a établi un nombre de clés maximales.

Pour chaque type de chiffrement, Big Blue a établi un nombre de clés maximales. Ces données sont disponibles dans la documentation. IBM ne détaille pas le prix, qui est accessible en se rapprochant de son responsable de compte. L’on apprend juste que l’appliance est facturée mensuellement ou à l’heure. Une plaquette commerciale du fournisseur indique qu’un client peut profiter d’un module dédié « à partir de 1 250 dollars par mois ».

Pour information, une unité HSM SafeNet Luna Network A700 coûte 22 504,99 dollars sur le site du revendeur Insight. IBM propose également la version 6.0 de son offre IBM Cloud HSM, une appliance qui respecte la norme FIPS 140-2 de niveau 2.

Pour approfondir sur Sécurité du Cloud

Close