 La main preuve du système de management de la clé est d'unifier la façon dont on utilise la clé cryptographique dans la nouvelle plateforme. Pour minimiser l'exposure de la clé, chaque clé va avoir un identifiant unique. Et l'appli sera lié à ce identifiant unique. ST implemente le standard API pkcs11. Les services principaux de ce système, le management du objectif cryptographique comme clé ou certificate et des services classiques comme encryption, décryption, signature generation et vérification, key derivation ou génération. Dans le KMS, nous avons trois principaux catégories de clé. Les clés statiques sont prédifiées et prédifiées dans le code. Elles peuvent être updatées. Ensuite, nous avons les clés optimaux avec l'ID statique. Les idées sont prédifiées dans le système, mais la clé de clé est optimale après tout dans un moyen sécuritaire. Le moyen sécuritaire, c'est que l'intégrité, l'authenticité et la confidentialité de la clé de valeur sont garanties en utilisant des clés statiques. La dernière catégorie est la clé optimale avec l'ID dynamique. La clé de clé est créée en utilisant une fonction interne, typiquement une clé derivation d'une autre clé. Ici, il y a une autre vue du système KMS. A la première étape, les clés de clés statiques sont valeurs. Le KMS permet de prévisionner la clé de valeur de l'identifier prédifiée. Pour cela, nous devons générer un conteneur aussi appelé BLOB. Dans cet BLOB, nous avons la clé de valeur de la clé de valeur, qui est encryptée. Associé avec celui-ci, nous avons des metadata qui permettent le KMS de vérifier l'intégrité et l'authenticité de cette clé de valeur, avant d'installer la clé. Ensuite, l'application peut utiliser ces clés par l'identifier que l'application PCS11. L'application peut aussi créer de nouvelles clés en utilisant une fonction interne. Thanks à cette architecture de softwares, vous pouvez facilement isoler le KMS du reste de votre plateforme, ainsi que les mécanismes que vous avez créés à l'arrivée. Cette clé montre comment la clé de prévisionnement de la clé KMS est intégrée avec l'SBSF dans notre exemple de code. La clé de valeur de prévisionnement est encryptée. Cette clé de valeur encryptée sur des metadata associées sera installée dans un conteneur appelé BLOB. Les metadata inclusent un header avec une magique, une version protocole, une version BLOB, une dimension BLOB et l'âge de la clé de valeur de prévisionnement. Les metadata inclusent aussi la signature de cet header. Pour prévisionner une nouvelle clé, le BLOB devrait être installé dans un slot de download. Cela sera adressé par le loader de notre système. Le nouveau BLOB sera détecté sur l'exécution de l'SBSF. Et celui-ci sera appelé par le service de la clé KMS. Le procédure, c'est de vérifier la signature de la clé de valeur de prévisionnement. Cela garantira l'authentication et l'intégrité de la clé de valeur de prévisionnement. La clé de valeur de prévisionnement sera encryptée et l'âge de la clé de valeur de prévisionnement sera vérifiée. Si ces détails sont d'accord, la clé de valeur de prévisionnement sera installée dans une mémoire non volatile associée à un identifier prédefined. La clé de valeur de prévisionnement est maintenant utilisée et peut être utilisé sécuritéement. ST délivre la clé de valeur de prévisionnement dans la clé de valeur de prévisionnement de la clé de valeur de prévisionnement. Vous pouvez aussi trouver un exemple basique mais aussi un exemple plus avancé avec une full intégration de la clé de valeur de prévisionnement avec le SBSF. Merci pour votre attention.