This is a general overview of Enterprise Key Management Foundation solution

2. • L’encryption non è sinonimo di sicurezza ma è uno strumento che ne costituisce un ottimo
alleato
• Crittografia: tratta il problema della segretezza
delle informazioni
• Sicurezza: utilizza strumenti crittografici per
realizzare sistemi di difesa infrastrutturali ed
applicativi robusti e resistenti in presenza di
attacchi
• Entrambi i concetti hanno in comune l’utilizzo di una password/chiave che determina l’accesso
(al sistema o ai dati)
• E’ quindi fondamentale custodire le password/chiavi in modo tale da essere inviolabili ed
adottare un sistema che ne gestisca in sicurezza il loro ciclo di vita

3. Black Hat 2017 Hacker Survey Report
Q: What type of security is the hardest to get past?
A: 70% say multi-factor authentication and encryption are biggest hacker
obstacles

4. • Un efficace approccio per il rafforzamento nella protezione dei dati è rappresentato dalle soluzioni di
crittografia
• Il mercato offre diverse soluzioni di crittografia dei dati fornendo pro e contro
Ma quali sono le reali problematiche legate all’adozione della crittografia ?
Molto spesso occorre stabilire:
• Quali sono i dati da criptare
• Dove eseguire il processo di encryption, a carico di quale componente ?
• Il costo della crittografia in termini di risorse
• Quanti e quali «change» applicativi sono necessari
• Chi è il responsabile del processo di encryption
“Encrypting only the data required to achieve compliance should be viewed as a minimum
threshold, not a best practice …”

5. • Dopo aver analizzato le motivazioni relative all’adozione dell’encryption occorre identificare dove si rende
necessaria applicarla
Z14 / Z15
Data in motion / in flight:
data flying across the network
Data in use / in memory :
active data which is stored in a non-persistent
digital state
Data at rest (disk / tape / storage) :
inactive data which is stored in a
persistent digital state

6. Coverage
Complexity
&
Security
Control
App
Encryption
hyper-sensitive data
Database Encryption
Provide protection for very sensitive in-use (DB level),
in-flight & at-rest data
File or Dataset Level Encryption
Provide broad coverage for sensitive data using encryption tied to access control
for in-flight & at-rest data protection
Full Disk and Tape Encryption
Provide 100% coverage for in-flight & at-rest data with zero host CPU cost
Protezione contro la
manomissione e la perdita
di dati o rimozione dei
devices fisici
Broad protection & privacy
gestita a livello di Sistema z/OS
Granular protection & privacy gestita
direttamente a livello DB sia per il
controllo dei dati che per la gestione delle
chiavi
Data protection & privacy fornita e gestita direttamente
dale applicazioni. Generalmente utilizzata quando
l’encryption non è disponibile o comunque non adatta
agli scopi
L’encryption su
vasta scala è
garantita dalle
prestazioni fornite
da Z15 CPACF

7. KEY
MANAGEMENT
• Qualunque sia l’approccio alla data encryption è utile valutare se e quale soluzione di Key-
Management adottare
• La soluzione di Key Management deve avere capacità di integrazione nativa con soluzioni di
encryption esistenti, capacità di essere conforme agli standard, capacità di fornire un preciso audit-
trail, capacità di separazione dei ruoli tra (key & data mgmt)
TKE + ICSF
( Master Keys + Operational Keys )
EKMF
(Operational Keys )
SKLM
(Operational Keys )
Self-Encryption Devices
KMIP support
App
Encryption
hyper-sensitive data
Database Encryption
Provide protection for very sensitive in-use (DB
level), in-flight & at-rest data
File or Dataset Level Encryption
Provide broad coverage for sensitive data using encryption tied to access
control for in-flight & at-rest data protection
Full Disk, Tape, & Network
Provide 100% coverage for in-flight & at-rest data with zero host CPU cost

8. 






8
❌
❌
❌
PROD
App1
Data1
App2
Data2
AppN
DataN
PROD.APP2.LOG.VER10
PROD.APP1.PAYROLL.VER7

9. • L’applicazione dell’encryption su vasta scala richiede un
sistema di gestione delle chiavi semplice ed affidabile in
termini gestionali e di sicurezza
• Le attuali soluzioni adottate in diversi ambiti IT sono
caratterizzate da sistemi già in grado di operare in ambiente
enterprise in quanto basati su specifici sw, oppure su
soluzioni custom realizzate ad hoc per specifiche necessità.
• In molti casi, però, non esiste una gestione globale delle
chiavi di encryption
• Policy based key generation
• Policy based key rotation
• Key usage tracking
• Key backup & recovery
• IBM Enterprise Key Management Foundation (EKMF) fornisce una
gestione sicura e centralizzata per le chiavi crittografiche e per i
certificati digitali, capace di supportare differenti piattaforme e key-
stores .

10. IBM Security / © 2019 IBM Corporation 10
• La soluzione IBM EKMF comprende una workstation altamente protetta, un’interfaccia web, uno o più agenti ed un repository
di chiavi centrali
• Le chiavi vengono generate sulla “secured-workstation” il cui accesso è protetto con autenticazione a due fattori (smart-card)
• La Workstation include un coprocessore IBM 476x (4767) ed è possibile applicare un doppio controllo per tutte le operazioni
• Il repository centrale contiene chiavi e metadati per tutte le chiavi crittografiche prodotte dalla workstation EKMF.
4
FIPS140-2
EKMF Web
•
•
•
EKMF Workstation
EKMF Repository
Cloud Keystores
•
•
Hardware Security Module
IBM
Crypto Express
4
IBM 476x
4
Custom
4
•
•
•

11. IBM Security / © 2019 IBM Corporation 11
• EKMF supporta chiavi DES, AES, HMAC, RSA ed ECC, incluse le Operational-Key necessarie per la Pervasive Encryption
• Il repository centrale contiene chiavi e metadati per tutte le chiavi crittografiche prodotte dalla workstation EKMF. Ciò consente
un facile backup e ripristino in caso di disastro.. La registrazione degli eventi viene auditata sia su DB2 che SMF

12. La workstation EKMF (o EKMF-WEB) è
collegata a tutti i sistemi tramite agenti
installati localmente sul sistema target :
• L’agente EKMF per z/OS gestisce le chiavi
nei keystore ICSF
• E’ previsto il supporto per più workstation
(consigliato)
Una LPAR ospita il repository di chiavi EKMF
• EKMF Agent per z/OS gestisce il
repository DB2 contenente chiavi e
metadata
• Utilizzando il DB2 le operazioni di backup
e ripristino risultano semplificate

13. * TKDS supported through ICSF
** EKMF Web can connect to
multiple EKMF agents
z/OS
CEX4S
CEX4S
CryptoExpress
ICSF
EKMF
agent
EKMF
repository
CKDS
PKDS
TKDS*
Liberty
EKMF
Web**
Keyrings
(RACF)
CEX4S
CEX4S
CryptoExpress
ICSF
EKMF
agent
CKDS
PKDS
TKDS*
Keyrings
(RACF)
z/OS
IBM 4765
IBM 4767
EKMF
agent
Linux (x86, Z)
Windows (x86)
AIX (Power)
Custom
Keystore
TKE
EKMF Web EKMF Workstation
Cloud Keystores
EKMF: evoluzione architetturale “z/OS-centric”

14. x86, Power, Z
Linux (x86, Z)
Windows (x86)
AIX (Power)
z/OS
x86, Power, container
KMIP
HDD /
SSD
Key-
store
EKMF
repository
x86 or Power
IBM 476x
Key-
store
Z
CEX
Key-
store
TR-31 enabled
HSM
MQ*
Bridge
Program
HSM with
PKCS11**
** on the roadmap
* Requires EKMF agent on z/OS
EKMF
agent
EKMF
agent
EKMF
agent
EKMF Workstation
EKMF Web
Cloud Keystore

15. Provides support for online distribution of keys to
non-IBM HSMs
• Uses TR-31 key blocks (PCI compliant key
exchange format)
• Common key management workflow and
processes for mainframe and distributed
crypto environments
• Centralized key monitoring, backup and
recovery for distributed HSMs
Process
z/OS
CEX4S
CEX4S
CryptoExpress
ICSF
EKMF
agent
EKMF
repository
CKDS
PKDS
MQ
Bridge
Program
Distributed
MQ
Bridge
Program
NetHSM
NetHSM
Other HSM
EKMF Workstation

16. • Gestione delle chiavi operative utilizzate per la pervasive encryption
• Semplicità d’installazione e configurazione.
• Template con modelli di chiavi pronti per l'uso
• Panoramica dei dataset su cui è applicata o su cui è applicabile la crittografia secondo le configurazioni
attivate
• Report sulle dicrepanze dalle policy di compliance

17. PREREQUISITI
• z/OS 2.3, or later.
• WebSphere Liberty 19.0.0.3 or later is installed
• A crypto adapter is assigned to the LPAR where
the WebSphere Liberty is installed.
• The CKDS is configured to use variable-length
key tokens.
• The required databases, tables, and views are
created.
• KMG and KMG-PE are installed in version
HKMGAS0 or HKMGAL0
• The user account that installs/configures the Web
must have write access to the configuration files.
EKMF è un prodotto SW capace di integrarsi
con il browser Firefox/Chrome per colloquiare
con la componente Websphere Liberty per la
gestione delle chiavi di encryption
•
•
z/OS
CEX4S
CEX4S
CryptoExpress
ICSF
EKMF
agent
CKDS
Liberty
EKMF
Web
EKMF datasets
database
EKMF key
repository
EKMF Web Firefox/Chrome
z/os v2.3 or later
Websphere Liberty
DB2 v12 reccomended

19. Advanced Crypto Service Provider
Servizi Z Crypto per l’enterprise
• Fornisce servizi crittografici alle
applicazioni aziendali presenti su altre
piattaforme, soprattutto per quelle non
dotate di crittografia HW
• Elevata scalablità, affidabilità e
disponibilità nell’esporre servizi crypto per
lo sviluppo di applicazioni
• Consente di sostituire i vari HSM installati
in ambienti distribuiti con l’ hardware Z-
Crypto, come se fosse un grande Net-
HSM
• Provider di funzioni crittografiche con le
migliori performance e riduzione dei costi

20. Power / AIX
System z14
Secure Channel
Secure Channel
Secure Channel
Secure Channel
Secure Channel
Una vista logica d’insieme
• ACSP: a crypto server solution enabling access to
IBM HSM and/or ICSF from distributed servers.
• IBM Java API for CCA (jCCA) and RestCCA for z/OS
• Certificate Management and PKI, for managing the
enterprise's certificates in an efficient manner.
• EMV, solutions for issuing EMV cards as well as for
the cryptographic operations during transaction
processing.
• ATM Remote Key Loading, back end functionality for
remote loading of keys in ATMs.
• PIN Print, small to medium scale PIN printing
operations.
• Cryptographic Analytics Tool for system z (CAT or
EKMP-CAT), bringing an overview of cryptographic
material and its protection to assist the auditors to
meet compliance requirements.

25. These are the policies that define
how your keys are created

26. IBM Z13 can only generate data keys.
We recommend to use AES cipher keys,
available from z14 with CEX6 or later.

29. If you lose your
key, EKMF Web
can restore it
If you lose your
key, EKMF Web
can restore it

31. A key template for these types of
keys must have been defined for
your keystore you’re importing from

36. © Copyright IBM Corporation 2019. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal,
and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can
result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are
designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise
immune from, the malicious or illegal conduct of any party.
Domande ?