キーのアップロード

キーのアップロード

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

概要

Bring Your Own キー (BYOK) は、Zoho の KEK の代わりにお客様ご自身のキー暗号化キー (KEK) を使用できる機能です。任意の外部キー管理システム (EKM) からキーを追加するか、暗号化済みキーを手動でアップロードすることができます。

キーをアップロードする場合の手順は次のとおりです。

  1. 通常の運用ポリシーに従い、データは当社が管理する DEK を使用して暗号化され、当社の KMS に保存されます。さらに、その DEK は当社の KEK を使用して暗号化され、別サーバーに保存されます。

  2. お客様の KEK をアップロードするには、当社が提供する証明書から公開キーを抽出し、その公開キーを使用してお客様のキーを暗号化およびハッシュする必要があります。

  3. 暗号化済み KEK とハッシュ化された KEK を Zoho Directory にアップロードします。

  4. 当社は自社の KEK を使用して DEK を復号し、平文の DEK を取得します。

  5. 取得した平文の DEK を、お客様が提供した KEK を使用して暗号化します。

キーをアップロードする:

1. BYOK 証明書を追加する:

  1. Zoho Directory にサインインします 

  2. Admin Panel をクリックし、続いて Security をクリックします。

  3. BYOK をクリックし、右上の 管理 certificates をクリックします。

  4. 追加する certificates をクリックし、証明書に一意の名前を入力して、追加する をクリックします。 追加した証明書にカーソルを合わせ、ダウンロードアイコンをクリックします。

 

Notes
メモ: 証明書は最大 2 件までしか追加できません。

2. 暗号化された KEK を生成する:

前提条件:

  • 'bcprov-jdk18on' jar のバージョンが 1.78.1 以上であること

 

次の Java コードスニペットを使用して、ダウンロードした証明書ファイルから公開キーを抽出し、キーを暗号化します。

クリック here to 表示する the 完了 コード snippet

/**
* @param fileName
* - ダウンロードしたファイル名
* @param plainKeyBytes
* - 生成済みキーのバイト配列
* @return - 暗号化されたキー
* @throws Exception
*/
	public static String encryptKeyWithPublicKey(String fileName, byte[] plainKeyBytes) throws Exception {

		PemReader reader = new PemReader(new FileReader(new File(fileName)));
		PemObject pemObject = reader.readPemObject();
		byte[] content = pemObject.getContent();
		reader.close();
		InputStream fin = new ByteArrayInputStream(content);
		CertificateFactory f = CertificateFactory.getInstance('X.509');
		X509Certificate certificate = (X509Certificate) f.generateCertificate(fin);
		PublicKey pk = certificate.getPublicKey();
		byte[] publicKeyBytes = pk.getEncoded();
		X509EncodedKeySpec keySpec = new X509EncodedKeySpec(publicKeyBytes);
		KeyFactory keyFactory = KeyFactory.getInstance('RSA');
		PublicKey publicKey = keyFactory.generatePublic(keySpec);
		Cipher encryptCipher = Cipher.getInstance('RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING');
		OAEPParameterSpec oaepParams = new OAEPParameterSpec('SHA-256', 'MGF1', new MGF1ParameterSpec('SHA-256'), PSource.PSpecified.DEFAULT);
		encryptCipher.init(Cipher.ENCRYPT_MODE, publicKey, oaepParams);
		byte[] encryptedBytes = encryptCipher.doFinal(plainKeyBytes);
		return Base64.getEncoder().encodeToString(encryptedBytes);

	}

 

3. ハッシュ化された KEK を生成するには:

以下のコードスニペットを使用して AES キーのハッシュ値を生成します

public static String getHashValue(byte[] plainKeyBytes) throws NoSuchAlgorithmException {
MessageDigest digest = MessageDigest.getInstance('SHA-256');
byte[] hashed = digest.digest(plainKeyBytes);
return Base64.getEncoder().encodeToString(hashed);
}

 

4. キーをアップロードするには:

  1. Zoho Directory にサインインします Zoho Directory 

  2. Admin Panel]をクリックし、次に[Security]をクリックします。

  1. BYOK]をクリックし、[設定]をクリックします。



    Notesメモ: すでにキーが追加されている場合は、右側の[+ キーを追加]をクリックします。


  1. キーを追加]画面で、キー名を入力し、アプリケーションを選択し、キー種別で[キーをアップロード]を選択します。


Notes
メモ: [すべての利用可能なアプリ]を選択した場合、キー名は編集できません。1つのアプリに対して申請できるキーは1つのみであり、すでにキーが割り当てられているアプリは[利用可能なアプリケーション]には表示されません。

  1. キーの詳細]で、すでにEncrypted KEKHashed KEKを作成済みの利用可能な証明書のいずれかを選択します。
Notesメモ: [+]アイコンを[利用可能な証明書]の横でクリックして証明書を追加し、上記の Java コードスニペットを使用して Encrypted KEK と Hashed KEK を生成することもできます。



  1. Hashed KEK を .txt ファイルとして参照してアップロードします。

  2. Encrypted KEK を .txt ファイルとして参照してアップロードします。

  3. 追加]をクリックします。