Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda> Data Encryption Workshop> Guia de usuário> Serviço de gerenciamento de chaves> Rotação de CMKs> Sobre a rotação de chaves

Atualizado em 2023-03-01 GMT+08:00

Ver PDF

Sobre a rotação de chaves

Finalidade da rotação da chave

As chaves que são amplamente ou repetidamente usadas são inseguras. Para aumentar a segurança das chaves de criptografia, é aconselhável alternar periodicamente as chaves e alterar seus materiais de chave.

Os objetivos da rotação de chaves são:

Para reduzir a quantidade de dados criptografados por cada chave.
Uma chave será insegura se for usada para criptografar um grande número de dados. A quantidade de dados criptografados de uma chave refere-se ao número total de bytes ou mensagens criptografadas usando a chave.
Para melhorar a capacidade de responder a eventos de segurança.
Em seu projeto inicial de segurança do sistema, você deve projetar a função de rotação de chaves e usá-la para O&M de rotina, para que ela esteja à mão quando ocorrer uma emergência.
Para melhorar a capacidade de isolamento de dados.
Os dados de texto cifrado gerados antes e depois da rotação da chave serão isolados. Você pode identificar o escopo de impacto de um evento de segurança com base na chave envolvida e tomar ações de acordo.

Métodos de rotação de chaves

Você pode usar um dos seguintes métodos de rotação de chaves:

Rotação manual da chave
Substitua a chave em uso por uma nova chave. Por exemplo, se a chave A estiver em uso, você poderá criar a chave B usando um novo material de criptografia e substituir a chave A pela chave B. Isso alcança o mesmo resultado que alterar o material da chave A.

Tomemos o OBS como exemplo. Para girar manualmente uma chave, crie uma nova CMK no console do KMS. Substitua a CMK antiga pela nova no console do OBS.

Figura 1 Rotação manual da chave
Rotação automática da chave
O KMS gira automaticamente as chaves com base no período de rotação configurado (365 dias por padrão). O sistema gera automaticamente uma nova chave para substituir a chave em uso. A rotação automática da chave altera apenas o material da chave de uma CMK. Os atributos lógicos da CMK não serão alterados, incluindo seu ID de chave, alias, descrição e permissões.

A rotação automática da chave tem as seguintes características:
1. Ativar rotação para uma CMK existente. O KMS gerará automaticamente novos materiais de chaves para a CMK.
2. Os dados não são recriptografados em uma rotação automática de chaves. A DEK gerada usando a CMK não é rotacionada automaticamente, e os dados que foram criptografados usando a CMK não serão criptografados novamente. Se uma DEK tiver vazado, a rotação automática não pode conter o impacto do vazamento.
Figura 2 Rotação de chave

O KMS mantém todas as versões de uma CMK, para que você possa descriptografar qualquer texto cifrado criptografado usando a CMK.

O KMS usa a versão mais recente da CMK para criptografar dados.
Ao descriptografar dados, o KMS usa a versão da CMK usada para criptografar os dados.

Modos de rotação

**Tabela 1** Modos de rotação de chaves
Tipo de chave	Modo de rotação
Chave mestra padrão	Não pode ser girada.
Chave definida pelo usuário (CMK importada)	Só pode ser girada manualmente. Para obter mais informações sobre chaves definidas pelo usuário, consulte Visão geral da CMK.
Chave simétrica	Pode ser girada automaticamente ou manualmente.
Chave assimétrica	Só pode ser girada manualmente.
CMK desabilitada	As CMKs desabilitadas não são rotacionadas. O KMS mantém seu status de rotação inalterado. Depois que uma CMK for ativada, se ela tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a CMK tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Desativação de uma ou mais CMKs.
As CMKs em estado de exclusão pendente	As CMKs desabilitadas não são rotacionadas. O KMS mantém seu status de rotação inalterado. Depois que uma CMK for ativada, se ela tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a CMK tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Agendamento da exclusão de uma ou mais chaves.

Você pode verificar os detalhes de rotação na página Rotation Policy, incluindo o horário da última rotação e o número de rotações.

Preços para rotação de chaves

A ativação da rotação de chaves pode incorrer em taxas adicionais. Para obter detalhes, consulte Descrição da cobrança.

Tópico principal: Rotação de CMKs

Tópico anterior: Rotação de CMKs

Próximo tópico: Ativação da rotação de chaves

Feedback

Esta página foi útil?

Sim Não

Deixar um comentário

Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.

O sistema está ocupado. Tente novamente mais tarde.

Quais dos seguintes problemas você encontrou?

O conteúdo é inconsistente com a UI do produto

Descrições pouco claras

Falta de exemplos ou código

Passos incorretos

Não encontro o que preciso

Falta de melhores práticas

Feedback (opcional)

0/500

Selecione pelo menos um tipo de problema e insira seus comentários ou sugestões.

Insira um máximo de 500 caracteres.

Enviar Cancelar