Sobre a rotação de chaves
Finalidade da rotação da chave
As chaves que são amplamente ou repetidamente usadas são inseguras. Para aumentar a segurança das chaves de criptografia, é aconselhável alternar periodicamente as chaves e alterar seus materiais de chave.
Os objetivos da rotação de chaves são:
- Para reduzir a quantidade de dados criptografados por cada chave.
Uma chave será insegura se for usada para criptografar um grande número de dados. A quantidade de dados criptografados de uma chave refere-se ao número total de bytes ou mensagens criptografadas usando a chave.
- Para melhorar a capacidade de responder a eventos de segurança.
Em seu projeto inicial de segurança do sistema, você deve projetar a função de rotação de chaves e usá-la para O&M de rotina, para que ela esteja à mão quando ocorrer uma emergência.
- Para melhorar a capacidade de isolamento de dados.
Os dados de texto cifrado gerados antes e depois da rotação da chave serão isolados. Você pode identificar o escopo de impacto de um evento de segurança com base na chave envolvida e tomar ações de acordo.
Métodos de rotação de chaves
Você pode usar um dos seguintes métodos de rotação de chaves:
- Rotação manual da chave
Substitua a chave em uso por uma nova chave. Por exemplo, se a chave A estiver em uso, você poderá criar a chave B usando um novo material de criptografia e substituir a chave A pela chave B. Isso alcança o mesmo resultado que alterar o material da chave A.
Tomemos o OBS como exemplo. Para girar manualmente uma chave, crie uma nova CMK no console do KMS. Substitua a CMK antiga pela nova no console do OBS.
Figura 1 Rotação manual da chave - Rotação automática da chave
O KMS gira automaticamente as chaves com base no período de rotação configurado (365 dias por padrão). O sistema gera automaticamente uma nova chave para substituir a chave em uso. A rotação automática da chave altera apenas o material da chave de uma CMK. Os atributos lógicos da CMK não serão alterados, incluindo seu ID de chave, alias, descrição e permissões.
A rotação automática da chave tem as seguintes características:
- Ativar rotação para uma CMK existente. O KMS gerará automaticamente novos materiais de chaves para a CMK.
- Os dados não são recriptografados em uma rotação automática de chaves. A DEK gerada usando a CMK não é rotacionada automaticamente, e os dados que foram criptografados usando a CMK não serão criptografados novamente. Se uma DEK tiver vazado, a rotação automática não pode conter o impacto do vazamento.
Figura 2 Rotação de chave
![](https://support.huaweicloud.com/intl/pt-br/usermanual-dew/public_sys-resources/note_3.0-pt-br.png)
- O KMS usa a versão mais recente da CMK para criptografar dados.
- Ao descriptografar dados, o KMS usa a versão da CMK usada para criptografar os dados.
Modos de rotação
Tipo de chave |
Modo de rotação |
---|---|
Chave mestra padrão |
Não pode ser girada. |
Chave definida pelo usuário (CMK importada) |
Só pode ser girada manualmente. Para obter mais informações sobre chaves definidas pelo usuário, consulte Visão geral da CMK. |
Chave simétrica |
Pode ser girada automaticamente ou manualmente. |
Chave assimétrica |
Só pode ser girada manualmente. |
CMK desabilitada |
As CMKs desabilitadas não são rotacionadas. O KMS mantém seu status de rotação inalterado. Depois que uma CMK for ativada, se ela tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a CMK tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Desativação de uma ou mais CMKs. |
As CMKs em estado de exclusão pendente |
As CMKs desabilitadas não são rotacionadas. O KMS mantém seu status de rotação inalterado. Depois que uma CMK for ativada, se ela tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a CMK tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Agendamento da exclusão de uma ou mais chaves. |
![](https://support.huaweicloud.com/intl/pt-br/usermanual-dew/public_sys-resources/note_3.0-pt-br.png)
Você pode verificar os detalhes de rotação na página Rotation Policy, incluindo o horário da última rotação e o número de rotações.
Preços para rotação de chaves
A ativação da rotação de chaves pode incorrer em taxas adicionais. Para obter detalhes, consulte Descrição da cobrança.