Partager via

Fournisseurs de services cloud et processus de chiffrement

  • Article

fonctions de CryptoAPI utilisent fournisseurs de services de chiffrement (CSP) pour effectuer le chiffrement et le déchiffrement, et pour fournir un stockage et une sécurité de clé. Ces fournisseurs de services cloud sont des modules indépendants. Dans l’idéal, les fournisseurs de services cloud sont écrits pour être indépendants d’une application particulière, afin que toute application s’exécute avec une variété de fournisseurs de services cloud. Toutefois, certaines applications ont des exigences spécifiques qui nécessitent un fournisseur csp personnalisé. Cela se compare au modèleGDI windows. Les fournisseurs de services cloud sont analogues aux pilotes de périphériques graphiques.

La qualité de la protection des clés au sein du système est un paramètre de conception du fournisseur de solutions Cloud et non du système dans son ensemble. Cela permet à une application de s’exécuter dans un large éventail de contextes de sécurité sans modification.

Les applications d’accès doivent aux internes de chiffrement sont soigneusement limitées. Cela facilite le développement d’applications sécurisées et portables.

Les trois règles de conception suivantes s’appliquent :

  • Les applications ne peuvent pas accéder directement au matériel de clé. Étant donné que tous les matériaux de clé sont générés dans le fournisseur de solutions Cloud et utilisés par l’application par le biais de handles opaques, il n’existe aucun risque pour une application ou ses DLL associées, soit de divulguer des documents de clé ou de choisir des matériaux de clé à partir de sources aléatoires médiocres.
  • Les applications ne peuvent pas spécifier les détails des opérations de chiffrement. L’interface CSP permet à une application de choisir un algorithme de chiffrement ou de signature, mais l’implémentation de chaque opération de chiffrement est effectuée par le csp.
  • Les applications ne gèrent pas les informations d’identification utilisateur ou d’autres données d’authentification utilisateur. L’authentification de l’utilisateur est effectuée par le fournisseur de solutions Cloud ; Par conséquent, les fournisseurs de services cloud futurs dotés de fonctionnalités d’authentification avancées, telles que les entrées biométriques, fonctionnent sans avoir à modifier le modèle d’authentification d’application.

Au minimum, un fournisseur de solutions Cloud se compose d’une bibliothèque de liens dynamiques (DLL) et d’un fichier de signature . Le fichier de signature est nécessaire pour vous assurer que l'CryptoAPIreconnaît le fournisseur de solutions Cloud. CryptoAPI valide régulièrement cette signature pour vous assurer que toute falsification avec le fournisseur de solutions Cloud est détectée.

Certains fournisseurs de services cloud peuvent implémenter une fraction de leurs fonctionnalités dans un service séparé par une adresse appelée par le biais du RPC local ou du matériel appelé via un pilote de périphérique système. L’isolation des opérations de chiffrement globales et d’état de clé centrale dans un service séparé par une adresse ou dans le matériel empêche les clés et les opérations de falsification dans un espace de données d’application.

Il n’est pas judicieux pour les applications de tirer parti des attributs particuliers à un fournisseur de solutions Cloud spécifique. Par exemple, le fournisseur de chiffrement de base Microsoft (fourni avec CryptoAPI) prend en charge les clés de session 40 bits et les clés publiques 512 bits. Les applications qui manipulent ces clés doivent éviter les hypothèses relatives à la quantité de mémoire nécessaire pour stocker ces clés, car l’application risque d’échouer si un autre fournisseur de solutions Cloud est utilisé. Les applications bien écrites doivent fonctionner avec un large éventail de fournisseurs de services cloud.

Pour plus d’informations sur les types de fournisseurs de chiffrement et les fournisseurs de services de chiffrement prédéfinis qui peuvent être utilisés avec CryptoAPI, consultez types de fournisseurs de chiffrement et fournisseurs de services de chiffrement Microsoft.