Partager via

Mettre à niveau la clé de signature pour devenir conforme FIPS

  • Article

Dans cet article, nous examinons les étapes de mise à niveau de vos clés de signature d’ID vérifiés Microsoft Entra pour devenir conformes à FIPS. La plupart des autorités sont déjà conformes à FIPS. Il ne s’agit que des autorités créées avant février 2024 en utilisant la méthode de configuration avancée qui nécessitent une mise à niveau de clé de signature. Configuration rapide Les autorités sont déjà conformes aux normes FIPS et utilisent des clés de signature P-256.

Dois-je mettre à niveau ?

Le type de clé P-256K n’est pas conforme à FIPS. Si vous souhaitez que votre système d’ID vérifié devienne conforme à FIPS et que vous utilisez la clé P-256K, vous devez mettre à niveau votre clé de signature.

Que se passe-t-il si je n’ai pas besoin de devenir conforme FIPS ?

Microsoft vous conseille de mettre à niveau, car la prise en charge de la clé de signature P-256K dans l'Identité vérifiée pourrait être supprimée à l'avenir.

Comment vérifier si j’ai besoin de mettre à niveau ?

  1. Vérifiez que votre autorité a été configurée à l’aide de Advanced Setup. Si votre DID ne commence pas par did:web:verifiedid.entra.microsoft.com, il a été configuré à l’aide de la méthode Advanced Setup. Vous pouvez inspecter votre DID dans le Organization settings du portail ou via l’API d'administration Obtenez l’autorité.

  2. Vérifiez si votre autorité utilise la clé de signature P-256K/secp256k1. Vous pouvez déterminer le type de clé de deux façons :

    1. Dans Azure Key Vault pour votre identificateur de clé de signature, inspectez que le Elliptic curve name a une valeur de P-256K. Votre clé Key Vault est visible dans le champ Signing key identifier du Organization settings dans le portail.

    2. Affichez votre document DID, inspectez la première entrée de la collection verificationMethod et vérifiez que l’attribut crv a une valeur de secp256k1. Vous pouvez récupérer votre document DID via l’URL https://<your-domain>/.well-known/did.json.

Conditions préalables à la mise à niveau

  • L'utilisateur administrateur effectuant une mise à niveau de clé doit posséder l'autorisation pour les clés dans le Key Vault.

Mise à niveau de la clé de signature

La mise à niveau de la clé de signature est une opération en sept étapes :

  1. Appelez l'API didInfo/signingKeys pour créer une nouvelle clé de signature P-256 dans Key Vault. Le jeton d’accès dans l’appel doit être destiné à un utilisateur administrateur disposant d’un accès aux clés dans le coffre de clés. L’attribut didDocumentStatus pour l’autorité passe à une valeur outOfSync, ce qui indique qu’il existe une différence entre Key Vault et le document did.json publiquement disponible.

  2. Appelez l’API generateDIDDocument pour générer un nouveau document DID. Enregistrez la réponse sous la forme d’un fichier nommé did.json. Le document DID généré contient à la fois la nouvelle clé P-256 et l’ancienne clé P-256K.

  3. Remplacez did.json sur tous les serveurs web où il a été déployé précédemment. Avant de continuer, assurez-vous que vous pouvez récupérer le nouveau document did.json à partir de l’Internet public avec un navigateur.

  4. Appelez l’API synchronizeWithDidDocument pour commencer à utiliser la nouvelle clé de signature P-256. Cet appel d’API valide que Key Vault et le document public did.json correspondent. S'ils correspondent, l'autorité de vérification d'identité commence à signer à l'aide de la nouvelle clé dans Key Vault. À ce stade, votre autorité signe à l’aide de la nouvelle clé P-256. Comme votre document DID contient également une ou plusieurs anciennes clés P-256K, des informations d’identification précédemment émises, signées par une clé P-256K, continuent à fonctionner dans des présentations. Le didDocumentStatus dans l’objet JSON d’autorité retournée a une valeur de published. Si la valeur est toujours outOfSync, il existe une différence entre Key Vault et le document did.json et la clé précédente est toujours utilisée pour la signature.

  5. Appelez l’API generateWellKnownDidConfiguration pour régénérer la configuration du domaine lié. Enregistrez la réponse sous la forme d’un fichier nommé did-configuration.json. Techniquement, vous pouvez retarder cette étape car les anciennes clés P-256K utilisées pour signer la configuration du domaine lié sont toujours disponibles dans le document DID. Effectuer cette étape ici est un bon test que la nouvelle clé de signature est active.

  6. Remplacez did-configuration.json sur tous les serveurs web où il a été déployé précédemment. Avant de continuer, assurez-vous que vous pouvez récupérer le nouveau document did-configuration.json à partir de l’Internet public avec un navigateur.

  7. Appelez l’API validateWellKnownDidConfiguration pour définir l’état du domaine lié sur verified.

Considérations postérieures à la mise à niveau

Toutes les activités de signature, telles que l’émission d’informations d’identification ou la création de demandes de présentation, sont désormais signées par votre nouvelle clé P-256.

Les informations d’identification émises avant la mise à niveau de la clé de signature sont signées par votre ancienne clé P-256K. Ces informations d’identification continuent de fonctionner tant que vous disposez des anciennes clés P-256K dans votre document DID. Lorsque le temps vient pour réémettre ces informations d’identification, ils sont signés à l’aide de la nouvelle clé P-256.

À terme, vous n’avez plus de certificats signés par l’ancienne clé lorsqu'ils expirent et que de nouveaux certificats sont émis. Si vos informations d’identification ont une longue durée de vie avant leur expiration et que vous souhaitez arrêter d’utiliser l’ancienne clé P-256K, vous devez envisager de demander à vos utilisateurs de réémettre à l’avance.

Si vous souhaitez supprimer les anciennes clés P-256K de votre document DID, vérifiez que vos utilisateurs ont réécrit leurs informations d’identification. Désactivez ensuite les anciennes clés P-256K dans votre coffre de clés et vous régénérez et redéployez votre document DID.

Étapes suivantes