Quelle est la différence entre les clés et les secrets dans Azure Key Vault?

Question

Ce serait génial de savoir

que sont-ils,
pour quoi sont-ils utilisés
pourquoi préférerait-on l'un plutôt que l'autre.

Bishoy · Accepted Answer

Une réponse très simple:

Clé

Une clé cryptographique représentée comme JWK (clé Web JSON)

Exemple: stocker un fichier de certificat .pfx qui contient une paire de clés publiques et privées

Secret

KV accepte n'importe quelle valeur et la stocke sous forme binaire (il existe une limitation de taille maximale)

Exemple: un mot de passe ou une clé API

Lectures complémentaires

À propos des clés et des secrets

Diego Mendes · Answer

Clés du coffre-fort:

Les clés dans Azure Key Vault sont des `` clés cryptographiques '' utilisées pour crypter des informations sans divulguer la clé privée au consommateur (utilisateurs\Service). Il agit comme une boîte noire pour crypter et décrypter le contenu à l'aide de algotithme RSA .

L'algorithme RSA, implique une clé publique et une clé privée. La clé publique peut être connue de tous; il est utilisé pour crypter les messages. Les messages chiffrés à l'aide de la clé publique ne peuvent être déchiffrés qu'avec la clé privée.

Scénario:

Supposons que vous deviez stocker la carte de crédit client, le moyen sûr de la conserver dans votre base de données est de la stocker cryptée, lors de la conception du logiciel et des exigences commerciales, il est parfaitement clair que vous devez la crypter, ce que la plupart des gens ne réalisent pas ou ne font pas Cela ne vous dérange pas de savoir comment protéger vos clés de chiffrement, la plupart du temps, stockées dans le cadre de la configuration de votre logiciel, si l'attaquant ou l'employé a accès à la clé, les informations ne sont plus sécurisées.

En utilisant les clés du coffre-fort, vous pouvez envoyer les informations de la carte de crédit à KeyVault et il cryptera les informations et renverra à l'appelant la valeur cryptée. Dans les scénarios à hautes performances, vous pouvez obtenir la clé publique de KeyVault, l'utiliser pour crypter les informations côté application et les stocker dans une base de données déjà cryptée sans envoyer les données à KV. La seule façon de récupérer les vraies données serait d'envoyer les données chiffrées à KV où il renverra la carte de crédit déchiffrée.

Secrets de coffre-fort

Les secrets d'Azure Key Vault sont des séquences d'octets d'une taille maximale de 25 Ko chacune. Il est décrit comme octet car il ne se soucie pas du type de données stocké, la seule limitation est la taille de 25 Ko. Une fois que vous avez envoyé les données, elles sont cryptées et stockées, vous pouvez les récupérer à tout moment si vous en avez les autorisations. Il est utilisé pour stocker des informations telles que les paramètres d'application, les jetons et, si vous voulez, les chaînes de connexion, les mots de passe, etc.

Le bon côté des secrets de Key Vault est que vous pouvez utiliser des valeurs de rotation prédéfinies définissant les valeurs Expiration/NotBefore. Vous pouvez donc enregistrer des valeurs temporaires qui seront tournées à des périodes spécifiées, tandis que le lecteur a accès au coffre-fort avec l'autorisation Get, il ne pourra lire que les valeurs actuelles, tandis que les futures sont déjà définies et non visibles par le Obtenez l'opération.