Passer au contenu principal
Auth0 protège les secrets et les données de votre locataire à l’aide d’une clé racine d’environnement Auth0, au sommet de la hiérarchie des clés de chiffrement par enveloppe. La clé racine d’environnement Auth0 et la clé racine fournie par le client sont stockées dans le module matériel de sécurité (HSM) du fournisseur de services infonuagiques Auth0 correspondant, AWS ou Azure.

Bring Your Own Key

Avec Bring Your Own Key, les utilisateurs disposant du rôle Key Management Editor peuvent utiliser le pour remplacer la clé racine d’environnement Auth0 par défaut par leur propre clé racine fournie par le client. Les clients peuvent téléverser en toute sécurité leur propre clé racine, qui contient leur propre matériel cryptographique, afin de :
  • Répondre à des exigences personnalisées en matière de génération et de provenance des clés pour la clé racine d’environnement.
  • Répondre à des exigences particulières d’installation ou de durée de vie pour la clé racine d’environnement.
En important votre propre clé racine fournie par le client avec Bring Your Own Key, vous retirez implicitement à Auth0 la gestion du cycle de vie de cette clé, à l’exception de sa suppression.
Pour commencer, accédez à Dashboard > Settings > Encryption Keys
Dashboard > Settings > Encryption Keys
Sélectionnez Upload Key pour lancer le processus d’importation de votre clé racine fournie par le client. La boîte de dialogue d’importation s’ouvre alors :
Dashboard > Settings > Encryption Keys > Upload
Lorsque vous sélectionnez Upload Key, puis Download, le processus Bring Your Own Key est lancé :
  1. Une clé publique d’enveloppement est créée et téléchargée sur votre système.
  2. Prenez la clé publique d’enveloppement et utilisez-la pour envelopper votre propre matériel cryptographique à l’aide de votre propre système de gestion de clés afin de créer une clé de chiffrement enveloppée (la clé racine fournie par le client).
  3. Téléversez votre clé de chiffrement enveloppée, puis sélectionnez Save.
Une fois téléversée, la clé de chiffrement enveloppée remplace la clé racine d’environnement Auth0 dans le module de sécurité matériel (AWS ou Azure) à titre de clé racine fournie par le client.

Exigences relatives au matériel cryptographique

Utilisez votre système de gestion des clés pour encapsuler votre propre matériel cryptographique à l’aide de la clé publique d’enveloppement et créer la clé de chiffrement enveloppé. Utilisez ces paramètres pour l’algorithme CKM_RSA_AES_KEY_WRAP selon le fournisseur de services infonuagiques d’Auth0 (AWS ou Azure) :

Auth0 dans le nuage AWS

  • Longueur de la clé publique d’enveloppement : 3072 bits
  • Algorithme : CKG_MGF1_SHA256
  • Longueur de la clé AES temporaire pour CKM_AES_KEY_WRAP_PAD : 256 bits
  • Type de clé racine fournie par le client : clé symétrique AES de 256 bits

Auth0 dans le cloud Azure

  • Longueur de la clé publique d’enveloppement : 2048 bits
  • Algorithme : CKG_MGF1_SHA-1
  • Longueur de la clé AES temporaire pour CKM_AES_KEY_WRAP_PAD : 256 bits
  • Type de clé racine fournie par le client : clé privée RSA de 2048 bits
  • Encodage de la clé privée : PKCS #8 - ASN.1 DER