Migrando entre os métodos de gerenciamento de chave

É possível migrar entre as criptografias baseadas na unidade flash USB e no servidor de chaves sem interrupção usando a GUI de gerenciamento ou a interface da linha de comandos. Para migrar de servidores de chaves para unidades flash USB, use somente a interface da linha de comandos. Durante a migração, o sistema suporta a configuração simultânea de ambos os métodos de gerenciamento de chave. Após a migração ser concluída, é possível desativar o antigo método de gerenciamento de chaves.

Usando a GUI de gerenciamento

Durante a migração, o sistema não desativa o método de gerenciamento de chave atualmente configurado até que o novo método esteja configurado completamente. Portanto, os dados criptografados ainda podem ser acessados com a chave atual até que a migração seja concluída. Por exemplo, se estiver migrando de unidades flash USB para servidores de chaves, as chaves antigas na unidade flash USB ainda estarão disponíveis até que a criptografia do servidor de chaves esteja configurada. No entanto, pelo menos uma das unidades flash USB com a chave de criptografia atual deve ser inserida no sistema antes de migrar para o servidor de chaves. Após os servidores de chaves serem configurados, as chaves antigas na unidade flash USB não poderão mais decriptografar dados no sistema. Descarte todas as unidades flash USB antigas, de acordo com seus procedimentos recomendados para descarte de informações confidenciais.
Nota: A GUI de gerenciamento suporta a migração de unidades flash USB somente para um método de criptografia do servidor de chaves. Para migrar dos servidores de chaves para unidades flash USB, deve-se usar a interface da linha de comandos.
Antes de migrar para a criptografia baseada no servidor de chaves, assegure-se de que pelo menos uma unidade flash USB com a chave de criptografia atual esteja inserida no sistema. Para migrar a criptografia de uma unidade flash USB para servidores de chaves, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Na página Criptografia, verifique as seguintes informações:
    1. Expanda Unidades flash USB e verifique se as unidades flash USB estão configuradas e detectadas no sistema.
    2. Expanda Servidores de chaves e verifique se os servidores de chaves não estão configurados no sistema.
  3. Em Servidores de chaves, clique em Configurar.
  4. Selecione IBM SKLM (com KMIP) para o tipo de servidor de chaves.
  5. Insira o nome, o endereço IP e a porta para cada servidor de chaves. Se estiver configurando múltiplos servidores de chaves, o primeiro servidor de chaves que você especificar será o servidor de chaves principal e os restantes se tornam servidores de chaves secundários. Para assegurar que as chaves sejam distribuídas para todos os servidores de chaves secundários, a replicação deverá ser configurada no IBM Security Key Lifecycle Manager.
  6. Selecione SPECTRUM_VIRT para o grupo de dispositivos para os servidores de chaves. Esse grupo de dispositivos também deve ser configurado em cada um dos servidores de chaves para o sistema.
  7. Na página Certificado do servidor principal, deve-se fazer upload de todos os certificados do servidor principal necessários para o sistema. Os servidores de chaves podem usar um certificado de autoridade de certificação (CA) de um terceiro confiável ou um certificado autoassinado que seja criado nos servidores de chaves. Também é possível usar ambos os tipos de certificados nos servidores de chaves. Se múltiplos servidores principais forem configurados e usarem o mesmo certificado de autoridade de certificação, faça upload do certificado assinado pela autoridade de certificação única, que abrange todos os servidores principais. Se os servidores principais usarem certificados autoassinados, os certificados deverão ser transferidos por upload separadamente para o sistema. Quaisquer certificados autoassinados têm prioridade sobre certificados assinados por CA instalado no sistema para servidores de chave.
  8. Na página Certificado de criptografia do sistema, clique em Exportar chave pública para fazer download da chave pública para o sistema. Os certificados de criptografia do sistema também podem ser um certificado autoassinado ou de autoridade de certificação (CA). Esses certificados são transferidos por upload para cada um dos servidores de chaves para estabelecer a confiança para que o sistema se comunique com servidores de chaves individuais. Se um certificado não existir, selecione Configurações > Segurança > Comunicações seguras. Na página Comunicações seguras, selecione Atualizar certificado para criar ou importar um certificado. Para obter mais informações, consulte o tópico sobre certificados que são usados para servidores de chaves.
  9. Copie a chave pública do sistema incluindo-a no armazenamento confiável para o grupo de dispositivos SPECTRUM_VIRT em cada servidor de chaves configurado. Consulte o IBM Security Key Lifecycle Manager Knowledge Center para obter detalhes.
  10. Retorne à página Certificado de criptografia do sistema e selecione O certificado da chave pública do sistema foi transferido para cada servidor de chaves configurado.
  11. No painel Desativar criptografia de USB, selecione Sim e clique em Avançar.
  12. Na página de Resumo, verifique a configuração para os servidores principais e clique em Concluir. Após a configuração ser concluída, as chaves que foram armazenadas nas unidades flash USB não são válidas. Assegure-se de descartar todas as unidades flash USB com segurança.

Usando a CLI

Antes de migrar para a criptografia baseada no servidor de chaves, assegure-se de que pelo menos uma unidade flash USB com a chave de criptografia atual esteja inserida no sistema. Para migrar de uma unidade flash USB para servidores de chaves para gerenciar chaves de criptografia, conclua as etapas a seguir:
  1. Insira o comando a seguir para verificar se a criptografia está ativada no sistema com unidades flash USB:
    lsencryption
  2. Insira o comando da CLI a seguir para ativar a criptografia com servidores de chaves em seu sistema:
    chencryption -keyserver enable
  3. Ative o tipo de servidor principal e forneça o certificado assinado de autoridade de certificação (CA), se um for necessário:
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  4. Crie o servidor de chaves primário e especifique o certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port -primary
  5. Se você planeja usar múltiplos servidores de chaves, insira o comando a seguir diversas vezes para especificar até mais três servidores de chaves secundários que usam o certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port
  6. Crie a chave de criptografia do sistema e grave a chave para o servidor principal especificado:
    chencryption -keyserver newkey -key prepare
    Esse comando torna a chave preparada a chave atual e armazena os valores da chave em todos os servidores principais configurados.
  7. Para verificar se o sistema está preparado, insira o comando a seguir:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  8. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
  9. Após a nova chave para o servidor de chaves ser confirmada, desative a criptografia para a unidade flash USB inserindo o comando a seguir:
    chencryption -usb disable
Se a criptografia já estiver ativada no sistema com servidores de chaves, assegure-se de que o servidor de chaves principal esteja conectado ao sistema e que distribua a chave de criptografia atual. Para migrar de um servidor de chaves para unidades flash USB para gerenciar chaves de criptografia, conclua as etapas a seguir:
  1. Insira o comando a seguir para verificar se a criptografia está ativada no sistema com servidores de chaves:
    lsencryption
  2. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -usb enable
  3. Assegure-se de que haja ao menos três unidades flash USB instaladas:
    lsportusb
    Verifique se o valor para o parâmetro status é active. Este status indica que a unidade flash USB está inserida no nó e pode ser usada pelo sistema.
  4. Crie chaves de criptografia do sistema e grave essas chaves para todas as unidades flash USB conectadas ao sistema:
    chencryption -usb newkey -key prepare
  5. Confirme a chave preparada como a chave atual. Use esse comando quando o valor lsencryption para usb_rekey estiver configurado como prepared e o número de chaves de criptografia USB for maior que o número mínimo requerido.
    chencryption -usb newkey -key commit

    Sem a chave que é gravada no dispositivo USB, o acesso às matrizes criptografadas não é possível e os dados são perdidos. É de vital importância ter cópias suficientes de chaves para disponibilidade e backups adicionais no caso de desastre. É possível copiar o material de chave fazendo backups dos arquivos criados.

  6. Após a nova chave ser confirmada, desative a criptografia para o servidor de chaves inserindo o comando a seguir:
    chencryption -keyserver disable
Tópico pai: Gerenciando a criptografia
Referências relacionadas:
chencryption
chkeyserverisklm
lsencryption
lsportusb
mkkeyserver