Observação: A configuração de criptografia estática com uma chave gerenciada pelo cliente está atualmente na versão beta e sujeita a alterações.
Sobre a criptografia de dados
Proporcionar um alto nível de segurança GitHub AE criptografa seus dados em modo estático nos centros de dados e enquanto seus dados estão em trânsito entre as máquinas dos usuários e os centros de dados.
Para criptografia em trânsito, GitHub AE usa o Transport Layer Security (TLS). Para criptografia em modo estático, GitHub AE fornece uma chave RSA padrão. Depois de ter inicializado a sua empresa, você pode escolher fornecer a sua própria chave. A sua chave deve ser uma chave RSA privada de 2048 bits no formato PEM.
A chave que você fornecer é armazenada em um módulo de segurança de hardware compatível com o FIPS 140-2 (HSM) em um cofre de chave que GitHub gerencia.
Para configurar sua chave de criptografia, use a API REST. Existem vários pontos de extremidade da API, por exemplo, para verificar o status da criptografia, atualizar sua chave de criptografia e desabilitar sua chave de criptografia. Observe que que desabilitar a sua chave irá congelar a sua empresa. Para obter mais informações sobre os pontos de extremidade da API, consulte "Criptografia estática" na documentação da API REST.
Adicionar ou atualizar uma chave de criptografia
Você pode adicionar uma nova chave de criptografia sempre que precisar. Ao adicionar uma chave nova, a chave antiga é descartada. A sua empresa não vai ter inatividade quando você atualizar a chave.
Sua chave privada RSA de 2048 bits deve estar no formato PEM como, por exemplo, em um arquivo denominado private-key.pem.
-----BEGIN RSA PRIVATE KEY-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END RSA PRIVATE KEY-----
-
Para adicionar a sua chave, use o ponto de extremidade
PATCH /enterprise/encryption, substituindo ~/private-key.pem pelo caminho para sua chave privada.curl -X PATCH http(s)://hostname/api/v3/enterprise/encryption \ -d "{ \"key\": \"$(awk '{printf "%s\\n", $0}' ~/private-key.pem)\" }" -
Opcionalmente, verifique o status da operação de atualização.
curl -X GET http(s)://hostname/api/v3/enterprise/encryption/status/request_id
Desabilitar a sua chave de criptografia
Para congelar a sua empresa, por exemplo, no caso de uma violação, você pode desabilitar a criptografia, marcando a sua chave de criptografia como desabilitada.
-
Para desabilitar a sua chave e a criptografia estática, use o ponto de extremidade
DELETE /enterprise/encryption. Esta operação não exclui a chave permanentemente.curl -X DELETE http(s)://hostname/api/v3/enterprise/encryption -
Opcionalmente, verifique o status da operação de exclusão. Demora aproximadamente dez minutos para desabilitar a criptografia em repouso.
curl -X GET http(s)://hostname/api/v3/enterprise/encryption/status/request_id
Para descongelar a sua empresa depois de ter desabilitado a sua chave de criptografia, entre em contato com o suporte. Para obter mais informações, consulte "Sobre o Suporte do GitHub Enterprise".
Leia mais
- "Criptografia estática" na documentação da API REST