BYOK の暗号化標準の更新

自己管理の暗号化キー (BYOK) サービスの中核機能を形成する暗号化サービスの強化を予定しています。 

将来の機能に備えるために、BYOK はより安全な暗号化標準に移行する必要があります。

変更内容

新たに作成またはインポートされるすべての対称キーで、「CBC-CS1」と呼ばれるバージョンの AES が必要になります。今回の変更はすでに暗号化されているワークスペースには影響せず、エクスポートする非対称キー (例: 公開キー) にも影響しません。ただし、新たに作成またはインポートする対称キーにはこの標準が適用されます。これには、今回の変更が行われた後で計画したキーのローテーションも含まれます。

対称キーをインポート及びラップする場合は、Anapedia の「暗号化キーの作成と管理 」で手順を確認できます。キーを BYOK にインポートする場合、AES-CBC-CS1 アルゴリズムを使用する AES キーしか使用できなくなります。このアルゴリズムの性質上、二つの AES-CBS-CS1 キーを生成する必要があります。Anaplan では以前のアルゴリズムのサポートを終了する予定です。

どのようなメリットがありますか?

• AES-CBC-CS1 では、Cipher Text Stealing を使用して、サイズが 16 バイトではないファイルの最後のブロックを暗号化します。
• AES-CBC-CS1 キーで暗号化された各ファイルが一意のランダムなベース IV に関連付けられます。
• AES-CBC-CS1 では、ファイルの各セグメント (512 バイト) に使用される IV を微調整する安全なアルゴリズムを実装します。
• AES-CBC-CS1 暗号化はファイル システム ディレクトリにのみ適用されます。
• AES-CBC-CS1 暗号化ではファイルごとに生成される一意のランダム/予測不可能な IV (初期化ベクトル) を使用します。また、ファイルごとの IV オブジェクトはファイル作成時にのみ生成され、ファイル メタデータとして保存されます。これが、AES-CBC-CS1 が他の AES-CBC モードよりも優れている理由です。
• AES-CBC-CS1 暗号化ではリアルタイムとオフライン両方のデータ変換がサポートされています。

何らかの対応は必要ですか?

API 機能も含め、BYOK 内の大半の既存機能で対応は不要です。

現在の暗号化キーとワークスペースに対して段階的な対応が必要な変更は以下のとおりです。

• 既存のすべてのキー、及び以前の標準で準備したキーは Anaplan のリポジトリで「AES256」として表示されます。新しいキーは「AES256-CBC-CS1」と表示されます。
• 現時点では、暗号化されているワークスペースは今回の変更の影響を受けません。
• サポート対象外の暗号化を行おうとした場合、又は「AES256」キーへのキーのローテーションを行おうとした場合はエラー メッセージが表示されます。
• 暗号化管理者は、Anapedia でお知らせする手順に従ってキーのインポートに向けて新しい標準に準拠したキーを用意する必要があります。間違ったキー マテリアルではインポートに失敗します。

今回の変更に伴って必要となる手順の詳細については、今後数か月以内に Anapedia でお知らせします。