Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Data Encryption Workshop/ Perguntas frequentes/ Serviço de gerenciamento de chaves/ Rotação de CMKs/ Sobre a rotação de chaves

Atualizado em 2024-09-14 GMT+08:00

Ver PDF

Sobre a rotação de chaves

Finalidade da rotação da chave

As chaves que são amplamente ou repetidamente usadas são inseguras. Para aumentar a segurança das chaves de criptografia, é aconselhável alternar periodicamente as chaves e alterar seus materiais de chave.

As finalidades da rotação de chaves são:

Para reduzir a quantidade de dados criptografados por cada chave.
Uma chave será insegura se for usada para criptografar um grande número de dados. A quantidade de dados criptografados de uma chave refere-se ao número total de bytes ou mensagens criptografadas usando a chave.
Para melhorar a capacidade de responder a eventos de segurança.
Em seu projeto inicial de segurança do sistema, você deve projetar a função de rotação de chaves e usá-la para O&M de rotina, para que ela esteja disponível quando ocorrer uma emergência.
Para melhorar a capacidade de isolamento de dados.
Os dados de texto cifrado gerados antes e depois da rotação da chave serão isolados. Você pode identificar o escopo de impacto de um evento de segurança com base na chave envolvida e tomar ações de acordo.

Métodos de rotação de chaves

Você pode usar um dos seguintes métodos de rotação de chaves:

Rotação manual da chave
Método 1: crie uma chave B para substituir a chave A atualmente usada.

Método 2: modifique a chave A e use-a.

Tomemos o OBS como exemplo. Para girar manualmente uma chave, crie uma nova chave personalizada no console do KMS. Substitua a chave personalizada anterior pela nova no console do OBS.

Figura 1 Rotação manual da chave
Rotação automática da chave
O KMS faz a rotação automática das chaves com base no período de rotação configurado (365 dias por padrão). O sistema gera automaticamente uma nova chave para substituir a chave em uso. A rotação automática da chave altera apenas o material da chave de uma CMK. Os atributos lógicos da chave não serão alterados, incluindo seu ID de chave, alias, descrição e permissões.

A rotação automática da chave tem as seguintes características:
1. Ativar a rotação de uma chave personalizada existente. O KMS gerará automaticamente novos materiais de chave para a chave personalizada.
2. Os dados não são recriptografados em uma rotação automática de chaves. A DEK gerada usando a CMK não é rotacionada automaticamente, e os dados que foram criptografados usando a CMK não serão criptografados novamente. Se uma DEK tiver vazada, a rotação automática não pode conter o impacto do vazamento.
Figura 2 Rotação de chave

O KMS mantém todas as versões de uma chave personalizada, para que você possa descriptografar qualquer texto cifrado criptografado usando a chave personalizada.

O KMS usa a versão mais recente da chave personalizada para criptografar dados.
Ao descriptografar dados, o KMS usa a versão da chave personalizada que foi usada para criptografar os dados.

Modos de rotação

**Tabela 1** Modos de rotação de chaves
Tipo de chave	Modo de rotação
Chave padrão	Não pode ser girada.
Chave personalizada	As chaves podem ser giradas automaticamente ou manualmente, dependendo do tipo de algoritmo de chave. Chave simétrica: pode ser girada automaticamente ou manualmente. Chave assimétrica: só pode ser girada manualmente.
CMK desativada	As CMKs desativadas não são giradas. O KMS mantém seu status de rotação inalterado. Depois que uma chave personalizada for ativada, se ela tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a chave personalizada tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Desativação de uma ou mais CMKs.
As CMKs em estado de exclusão pendente	O KMS não rotaciona CMKs com status de exclusão pendente. Depois de cancelar a exclusão de uma CMK, o status de rotação de chave anterior será restaurado. Se a chave personalizada tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a CMK tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Agendamento da exclusão de uma ou mais chaves.

Você pode verificar os detalhes de rotação na página Rotation Policy, incluindo o horário da última rotação e o número de rotações.

Preços para rotação de chaves

A ativação da rotação de chaves pode incorrer em taxas adicionais. Para obter detalhes, consulte Descrição da cobrança.

Tópico principal: Rotação de CMKs

Feedback

Esta página foi útil?

Sim Não

Deixar um comentário

Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.

O sistema está ocupado. Tente novamente mais tarde.

Quais dos seguintes problemas você encontrou?

O conteúdo é inconsistente com a UI do produto

Descrições pouco claras

Falta de exemplos ou código

Passos incorretos

Não encontro o que preciso

Falta de melhores práticas

Feedback (opcional)

0/500

Selecione pelo menos um tipo de problema e insira seus comentários ou sugestões.

Insira um máximo de 500 caracteres.

Enviar Cancelar