HashiCorp Vault-Projekt - unterstützten Verschlüsselungsalgorithmen

Question

Vault project hat Eigenschaft:

Datenverschlüsselung: Vault können Daten verschlüsseln und entschlüsseln, ohne es zu speichern. Dies ermöglicht es Sicherheitsteams, Verschlüsselungsparameter und Entwickler zu definieren, um verschlüsselte Daten an einem Speicherort wie SQL zu speichern, ohne ihre eigenen Verschlüsselungsmethoden entwickeln zu müssen.

Transit Secret Backend:

Der Transit geheimer Backend behandelt Verschlüsselungsfunktionen auf Daten in-Transit. Vault speichert die an das Back-End gesendeten Daten nicht. Es kann auch als "Kryptografie als Dienst" angesehen werden.

1. Ist es ECDSA mit secp192r1 Kurve unterstützen?
2. POST /transit/keys/<name> - erstellt einen neuen benannten Verschlüsselungsschlüssel des angegebenen Typs, der später zur Verschlüsselung/Entschlüsselung oder zum Signieren/Verifizieren verwendet werden kann. Erzeugt es Schlüsselpaar von privat und öffentlich? Gibt es eine Methode, öffentlichen Schlüssel zu erhalten/auszugeben?
3. Ist es möglich, ein benutzerdefiniertes geheimes Backend zu erstellen, das kryptografische Operationen durchführt, aber keine privaten Schlüssel zurückgibt?

Answer 1

Got Antwort von Vault project - Jeff:

Does it support ECDSA using secp192r1 curve? 

derzeit nicht.

POST /transit/keys/<name> - creates a new named encryption key of the specified type which later can be used for encryption/decryption or signing/verifying. Does it create key pair of private and public? Is there any method to get/output public key? 

Wenn der Schlüsseltyp ein öffentlicher/private-Typ ist, wird ein Lese auf dem Schlüssel die öffentlichen Schlüssel zurück.

Is it possible to create custom secret backend which would perform cryptographic operations but would not return private keys? 

Dies ist genau was Transit tut.