非対称鍵のローテーション

このトピックでは、非対称鍵での鍵のローテーションについて説明します。対称鍵のローテーションについては、鍵のローテーションの概要鍵のローテーション方法をご覧ください。

Cloud KMS では、非対称鍵の自動ローテーションサポートされていません。非対称鍵の手動ローテーションを実施する理由と実施にあたっての重要な考慮事項について以下で説明します。

非対称鍵について

非対称鍵はデジタル署名と暗号化に使用できます。非対称鍵は秘密鍵と公開鍵がペアになったものです。署名は秘密鍵によって生成され、公開鍵によって確認できます。同様に、公開鍵によって暗号化されたデータは、秘密鍵によってのみ復号できます。秘密鍵を公開鍵から割り出すことは容易ではありません。したがって、公開鍵は広く配布して署名の確認や暗号化に使用できます。秘密鍵にアクセスできるのは常に秘密鍵の所有者だけです。

ローテーションに関する考慮事項

鍵のローテーションによって生じる影響は、対称鍵と非対称鍵で異なります。

対称鍵のローテーション

対称鍵の自動ローテーションと手動ローテーションのプロセスは、次のように進められます。

  1. 新しい鍵バージョンを作成する。
  2. 新しい鍵バージョンをメイン バージョンにする。
  3. 新しい鍵バージョンを使い始める。新しいバージョンは CryptoKey.encrypt メソッドの呼び出しで使用できます。その後 CryptoKey.decrypt メソッドを呼び出したとき、新しい鍵バージョンがメイン バージョンではなくなっていても、復号に使用する鍵バージョンが自動的に判別されます。

暗号化または復号に対称鍵を使用する場合、ユーザーは鍵バージョンではなく鍵を指定します。使用する対称鍵をユーザーが変更する必要はありません。対称鍵をローテーションする際には Cloud KMS がユーザーに代わって暗号化と復号を処理します。

対称鍵のローテーション時に使用する鍵をユーザーが変更する必要がないため、Cloud KMS で対称鍵の自動ローテーションがサポートされます。

非対称鍵のローテーション

非対称鍵のローテーションによって生じる影響は、署名に使用される非対称鍵と暗号化に使用される非対称鍵で異なります。どちらの場合も使用する鍵による影響が大きいため、Cloud KMS では非対称鍵の自動ローテーションはサポートされません。

署名用の非対称鍵のローテーション

署名に使用される非対称鍵のローテーションのプロセスは、次のように進められます。

  1. 新しい鍵バージョンを作成する。

  2. 新しい鍵バージョンの公開鍵部分を配布する。公開鍵を取得するには CryptoKeyVersions.getPublicKey メソッドを使用します。

  3. 新しい鍵バージョンの公開鍵部分を、署名確認に使用するアプリケーションに組み込む。

  4. 新しい鍵バージョンを使い始める。新しい鍵バージョンは、署名作成時に CryptoKeyVersions.asymmetricSign メソッドの呼び出しで使用できます。この署名は、CryptoKeyVersions.getPublicKey から返された公開鍵を組み込むアプリケーションで確認できます。

暗号化用の非対称鍵のローテーション

暗号化に使用される非対称鍵のローテーションのプロセスは、次のように進められます。

  1. 新しい鍵バージョンを作成する。

  2. 新しい鍵バージョンの公開鍵部分を配布する。公開鍵を取得するには CryptoKeyVersions.getPublicKey メソッドを使用します。

  3. 新しい鍵バージョンの公開鍵部分を、暗号化に使用するアプリケーションに組み込む。

  4. 新しい鍵バージョンの秘密鍵部分を、復号に使用するアプリケーションに組み込む。復号には CryptoKeyVersions.asymmetricDecrypt メソッドを使用します。

  5. CryptoKeyVersions.getPublicKeyCryptoKeyVersions.asymmetricDecrypt を呼び出して暗号化と復号に使用する鍵バージョンを更新する。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...