Sobre a rotação de chaves
Finalidade da rotação da chave
As chaves que são amplamente ou repetidamente usadas são inseguras. Para aumentar a segurança das chaves de criptografia, é aconselhável alternar periodicamente as chaves e alterar seus materiais de chave.
As finalidades da rotação de chaves são:
- Para reduzir a quantidade de dados criptografados por cada chave.
Uma chave será insegura se for usada para criptografar um grande número de dados. A quantidade de dados criptografados de uma chave refere-se ao número total de bytes ou mensagens criptografadas usando a chave.
- Para melhorar a capacidade de responder a eventos de segurança.
Em seu projeto inicial de segurança do sistema, você deve projetar a função de rotação de chaves e usá-la para O&M de rotina, para que ela esteja disponível quando ocorrer uma emergência.
- Para melhorar a capacidade de isolamento de dados.
Os dados de texto cifrado gerados antes e depois da rotação da chave serão isolados. Você pode identificar o escopo de impacto de um evento de segurança com base na chave envolvida e tomar ações de acordo.
Métodos de rotação de chaves
Você pode usar um dos seguintes métodos de rotação de chaves:
- Rotação manual da chave
Método 1: crie uma chave B para substituir a chave A atualmente usada.
Método 2: modifique a chave A e use-a.
Tomemos o OBS como exemplo. Para girar manualmente uma chave, crie uma nova chave personalizada no console do KMS. Substitua a chave personalizada anterior pela nova no console do OBS.
Figura 1 Rotação manual da chave
- Rotação automática da chave
O KMS faz a rotação automática das chaves com base no período de rotação configurado (365 dias por padrão). O sistema gera automaticamente uma nova chave para substituir a chave em uso. A rotação automática da chave altera apenas o material da chave de uma CMK. Os atributos lógicos da chave não serão alterados, incluindo seu ID de chave, alias, descrição e permissões.
A rotação automática da chave tem as seguintes características:
- Ativar a rotação de uma chave personalizada existente. O KMS gerará automaticamente novos materiais de chave para a chave personalizada.
- Os dados não são recriptografados em uma rotação automática de chaves. A DEK gerada usando a CMK não é rotacionada automaticamente, e os dados que foram criptografados usando a CMK não serão criptografados novamente. Se uma DEK tiver vazada, a rotação automática não pode conter o impacto do vazamento.
Figura 2 Rotação de chave
- O KMS usa a versão mais recente da chave personalizada para criptografar dados.
- Ao descriptografar dados, o KMS usa a versão da chave personalizada que foi usada para criptografar os dados.
Modos de rotação
|
Tipo de chave |
Modo de rotação |
|---|---|
|
Chave padrão |
Não pode ser girada. |
|
Chave personalizada |
As chaves podem ser giradas automaticamente ou manualmente, dependendo do tipo de algoritmo de chave.
|
|
CMK desativada |
As CMKs desativadas não são giradas. O KMS mantém seu status de rotação inalterado. Depois que uma chave personalizada for ativada, se ela tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a chave personalizada tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Desativação de uma ou mais CMKs. |
|
As CMKs em estado de exclusão pendente |
O KMS não rotaciona CMKs com status de exclusão pendente. Depois de cancelar a exclusão de uma CMK, o status de rotação de chave anterior será restaurado. Se a chave personalizada tiver sido usada por mais tempo do que o período de rotação, o KMS girará as chaves imediatamente. Se a CMK tiver sido usada por um período menor que o de rotação, o KMS implementará o plano de rotação original. Para obter mais informações, consulte Agendamento da exclusão de uma ou mais chaves. |
Você pode verificar os detalhes de rotação na página Rotation Policy, incluindo o horário da última rotação e o número de rotações.
