Saltar al contenido principal
Auth0 protege los secretos y los datos de su inquilino con una clave raíz del entorno de Auth0, ubicada en la parte superior de la jerarquía de claves del cifrado por envoltura. La clave raíz del entorno de Auth0 y la clave raíz proporcionada por el cliente se almacenan en el módulo de seguridad de hardware (HSM) del proveedor correspondiente de servicios en la nube de Auth0, AWS o Azure.

Bring Your Own Key

Con Bring Your Own Key, los usuarios con el rol Key Management Editor pueden usar el para reemplazar la clave raíz del entorno predeterminada de Auth0 por su propia clave raíz proporcionada por el cliente. Los clientes pueden cargar de forma segura su propia clave raíz, que contiene su propio material criptográfico, para:
  • Cumplir requisitos personalizados de generación y procedencia de claves para la clave raíz del entorno.
  • Cumplir requisitos específicos de instalación o vida útil para la clave raíz del entorno.
Al importar su propia clave raíz proporcionada por el cliente con Bring Your Own Key, implícitamente desautoriza a Auth0 para administrar el ciclo de vida de la clave raíz proporcionada por el cliente, excepto su eliminación.
Para comenzar, vaya a Dashboard > Settings > Encryption Keys
Dashboard > Settings > Encryption Keys
Seleccione Upload Key para iniciar el proceso de importación de su clave raíz proporcionada por el cliente. Esto abrirá el cuadro de diálogo de importación:
Dashboard > Settings > Encryption Keys > Upload
Cuando selecciona Upload Key y luego Download, se inicia el proceso de Bring Your Own Key:
  1. Crea una clave pública de encapsulación y la descarga en su sistema.
  2. Tome la clave pública de encapsulación y utilícela para encapsular su propio material criptográfico con su propio sistema de administración de claves, a fin de crear una clave de cifrado encapsulada (la clave raíz proporcionada por el cliente).
  3. Cargue su clave de cifrado encapsulada y seleccione Save.
La clave de cifrado encapsulada, una vez cargada, reemplaza la clave raíz del entorno de Auth0 en el módulo de seguridad de hardware (AWS o Azure) como clave raíz proporcionada por el cliente.

Requisitos del material criptográfico

Use su sistema de administración de claves para encapsular su propio material criptográfico con la clave pública de encapsulación y crear la clave de cifrado encapsulada. Use esta configuración para los parámetros del algoritmo CKM_RSA_AES_KEY_WRAP en función de su proveedor de servicios en la nube de Auth0 (AWS o Azure):

Auth0 en la nube de AWS

  • Longitud de la clave pública de encapsulación: 3072 bits
  • Algoritmo: CKG_MGF1_SHA256
  • Longitud de la clave AES temporal para CKM_AES_KEY_WRAP_PAD: 256 bits
  • Tipo de clave raíz proporcionada por el cliente: clave simétrica AES de 256 bits

Auth0 en la nube de Azure

  • Longitud de la clave pública de encapsulación: 2048 bits
  • Algoritmo: CKG_MGF1_SHA-1
  • Longitud de la clave AES temporal para CKM_AES_KEY_WRAP_PAD: 256 bits
  • Tipo de clave raíz proporcionada por el cliente: clave privada RSA de 2048 bits
  • Codificación de la clave privada: PKCS #8 - ASN.1 DER