キーをアップロードするオプションを選択した場合、手続きは以下の通りです：

1. 私たちのスタンダード手続き通り、データは私たちが管理するデータ暗号化キー(DEK)を使用して暗号化され、私たちのキー管理システム(KMS)に保存されます。 DEKはさらに私たちのKEKで暗号化され、別のサーバーに保存されます。

2. あなたのKEKをアップロードするためには、私たちが提供する証明書から公開鍵を抽出し、そのキーを使用してあなたのキーを暗号化しハッシュ化する必要があります。

3. 暗号化されたKEKとハッシュ化されたKEKをZohoディレクトリにアップロードします。

4. 私たちは、私たちのKEKを使用してDEKを復号化し、プレーンなDEKを取得します。

5. このプレーンなDEKはあなたが提供したKEKを使用して暗号化されます。

キーのアップロード：

1. BYOK証明書の追加：

1. 次のページにZoho Directoryにログインします。

2. 次にAdmin Panelをクリックし、その後Securityをクリックします。

3. その次にBYOKをクリックし、その後証明書を管理を右上隅でクリックします。

4. 「追加する certificates」をクリックし、証明書に一意の名前を付けて、「追加する」をクリックしてください。 追加した証明書の上にマウスを置き、「ダウンロードする」アイコンをクリックします。
   
   

メモ: 一度に追加できる証明書は最大2つまでです。

2. 暗号化されたKEKの生成方法:

事前準備:

• 'bcprov-jdk18on'のjarは、バージョンが1.78.1以上でなければなりません

ダウンロードした証明書ファイルから公開鍵を抽出し、キーを暗号化するための以下のJavaコードスニペットを使用します:

このリンクをクリックして、完全なコードスニペットを表示します

/**
 * @param fileName
 * - ダウンロードされたFileName
 * @param plainKeyBytes
 * - 作成済み キー Bytes
 * @return - 暗号化された キー
 * @throws Exception
 */
	public static String encryptKeyWithPublicKey(String fileName, byte[] plainKeyBytes) throws Exception {

		PemReader reader = 新規 PemReader(新規 FileReader(新規 File(fileName)));
		PemObject pemObject = reader。readPemObject();
		byte[] content = pemObject。getContent();
		reader.閉じる();
		InputStream fin = 新規 ByteArrayInputStream(content);
		CertificateFactory f = CertificateFactory。getInstance('X。509');
		X509Certificate certificate = (X509Certificate) f。generateCertificate(fin);
		PublicKey pk = certificate。getPublicKey();
		byte[] publicKeyBytes = pk。getEncoded();
		X509EncodedKeySpec keySpec = 新規 X509EncodedKeySpec(publicKeyBytes);
		KeyFactory keyFactory = KeyFactory。getInstance('RSA');
		PublicKey publicKey = keyFactory。generatePublic(keySpec);
		Cipher encryptCipher = Cipher。getInstance('RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING');
		OAEPParameterSpec oaepParams = 新規 OAEPParameterSpec('SHA-256', 'MGF1', 新規 MGF1ParameterSpec('SHA-256'), PSource。PSpecified.初期設定);
		encryptCipher。init(Cipher。ENCRYPT_MODE, publicKey, oaepParams);
		byte[] encryptedBytes = encryptCipher。doFinal(plainKeyBytes);
		返品する Base64。getEncoder().encodeToString(encryptedBytes);

	}

3. ハッシュ化したKEKの生成:

以下のコードスニペットを使用して、AESキーのハッシュ値を生成します:  

公開する static String getHashValue(byte[] plainKeyBytes) throws NoSuchAlgorithmException {
 MessageDigest digest = MessageDigest.getInstance('SHA-256');
 byte[] hashed = digest.digest(plainKeyBytes);
 返却する Base64.getEncoder().encodeToString(hashed);
}

4. キーをアップロードする:

1. 以下のリンクからZoho Directoryにログインします。

2. 次に、Admin Panelをクリックし、その後Securityをクリックします。

3. クリック オン BYOKし, その後に 設定をクリックします.
   
   
   
   
   
   メモ: + 追加する キー を右側でクリックします。既に追加されたキーがある場合は.
   
   

4. 次のスクリーン、追加する キーで、キー 名前を入力し、アプリケーションを選択し、さらに自分のキー 種類をアップロードする キーとして選択します。
   

メモ: キー 名前は、すべての使用可能なアプリを選択した場合には編集できません。アプリにはキーが1つだけ適用可能であり、すでに割り当てられたアプリは使用可能なアプリケーションのリストに表示されません。

 

5. 'キー 詳細'にある、あらかじめ作成してある利用可能な証明書の内のいずれかを選択しますで、その中には既に作成したEncrypted KEKとHashed KEKが含まれています。
   

メモ：証明書を追加することができます。これは、 + アイコンをクリックして利用可能な証明書を選択し、上記のJavaコードスニペットを使用して暗号化されたKEKとハッシュ化されたKEKを生成します。

6. ハッシュ化されたKEKを.txtファイルとしてブラウズしてアップロードします。

7. 暗号化されたKEKを.txtファイルとしてブラウズしてアップロードします。

8. そして、追加するをクリックします。