将Thales payshield 9000迁移到Azure密钥库

Question

我们希望将HSM keys从Thales paysheild 9000迁移到Azure Key vault。我们想知道是否支持这种迁移，如果支持，客户已经迁移到Azure的迁移方法和用例是什么。我们已经阅读了文章https://github.com/MicrosoftDocs/azure-docs/blob/master/articles/key-vault/key-vault-hsm-protected-keys.md，它谈到了泰利斯nShield系列，但我们使用的是https://www.thalesesecurity.com/products/payment-hsms/payshield-9000

提前谢谢。

Answer 1

很好的问题，正如Dan建议你联系微软澄清，但不幸的是，我不认为这是可能的。

重述一下，我相信您知道HSM的目的是为了使密钥不能导出。

微软(我假设是泰利斯)支持key backup：https://docs.microsoft.com/en-us/rest/api/keyvault/backupkey，但它只能恢复到相同的地理区域。

在您提供的文章中，它提到了每个地理区域中的“密钥交换密钥”，我认为这意味着Microsoft将使用与HSM的另一个安装不同的密钥。

话虽如此，我并不是一个普通的HSM专家，这些只是我在使用KeyVault时遇到的链接。

如果这是可能的，请联系Microsoft，因为我会感兴趣，请在收到回复后发布答案，或者Microsoft员工可以直接回答。

在泰利斯的文献中，它写道：

使用Microsoft Azure的nShield BYOK，您的本地nShield HSM将代表您生成、存储、包装密钥并将其导出到Microsoft Azure密钥库

http://go.thalesesecurity.com/rs/480-LWA-970/images/Thales-e-Security-Microsoft-Azure-UK-sb.pdf

有趣的是，它说生成/存储，这表明预先创建的密钥可以被迁移。然而，我猜测导出必须使用“密钥交换密钥”，并同时存储在本地和导出的Azure中，而不是先在本地，在BYOK过程中。

这篇博客文章有keyvault团队的联系方式，如果有帮助的话：https://blog.romyn.ca/key-management-in-azure/

Answer 2

重要密钥的迁移是非常简单的过程，这些密钥是在本地Thales payshield上的当前LMK下加密的：

1-使用控制台命令GC以清晰格式的组件生成新的ZMK，这将通过使用密钥类型为000来完成，这是ZMK密钥类型，并在GC命令步骤中选择清除格式组件选项使用字母'x‘。

2-重复上述GC命令3次，以生成新ZMK的3个不同的明文格式组件。

3-现在，在你的payshield 9000 HSM上，使用控制台命令FK，这意味着来自组件的形式密钥，结果是在旧的LMK下加密的新ZMK。

4-使用命令KE导出重要的数据加密密钥(DEK)，例如ZPK，在旧的LMK下加密，在新的ZMK下加密。注意:在KE命令中，这里使用的密钥类型为001，即ZPK密钥类型。

5-现在您需要手动将相同的新ZMK分发给您要迁移到的另一方。

6-您可以手动分发如此重要的密钥(新ZMK)，方法是将之前在步骤2中生成的3个不同的明文格式组件发送给公司的三个不同的安全官员，出于安全原因，任何人都不能同时拥有这3个组件。

7-在你想要将你的密钥迁移到的另一个实体上，微软Azure Key Vault云服务，Azure提供了在nShield类型的硬件HSM环境中保护你的密钥，这是通用的HSM，它并不特定于像泰利斯payshield HSM这样的支付交易。

8-参考Microsoft Azure密钥库文档，了解如何形成您之前生成的3个不同明文格式组件的新ZMK，并参考nShield手册检查负责导入密钥的命令。

9-现在，您的重要密钥，例如在新的ZMK下导出的ZPK，现在被导入到相同的ZMK下，最后加密存储在您的nShield提供的云服务的新的LMK下。