Questo argomento illustra rotazione della chiave in Cloud Key Management Service. Per istruzioni specifiche sulla rotazione di una chiave, consulta la sezione Rotazione delle chiavi.
Perché ruotare le chiavi?
Per la crittografia simmetrica, la rotazione periodica e automatica delle chiavi è una pratica di sicurezza consigliata. Alcuni standard di settore, come lo standard Payment Card Industry Data Security Standard (PCI DSS), richiedono la rotazione regolare dei tasti.
Cloud Key Management Service non supporta la rotazione automatica di chiavi asimmetriche. Consulta la sezione Considerazioni sulle chiavi asimmetriche di seguito.
La rotazione delle chiavi offre diversi vantaggi:
Limitare il numero di messaggi criptati con la stessa versione della chiave aiuta a prevenire gli attacchi abilitati dalla crittoanalisi. I suggerimenti relativi alla durata della chiave dipendono dall'algoritmo della chiave, nonché dal numero di messaggi prodotti o dal numero totale di byte criptati con la stessa versione della chiave. Ad esempio, la durata consigliata per le chiavi di crittografia simmetriche in Galois/Counter Mode (GCM) si basa sul numero di messaggi criptati, come indicato all'indirizzo https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38d.pdf.
Nel caso in cui una chiave venga compromessa, la rotazione regolare limita il numero di messaggi effettivi vulnerabili alla compromissione.
Se sospetti che una versione della chiave sia compromessa, disabilitala e revoca l'accesso il prima possibile.
La rotazione regolare delle chiavi garantisce che il sistema sia resiliente alla rotazione manuale, a causa di una violazione della sicurezza o della necessità di eseguire la migrazione dell'applicazione a un algoritmo crittografico più efficace. Convalida le procedure di rotazione della chiave prima che si verifichi un incidente di sicurezza reale.
Puoi anche ruotare manualmente una chiave perché è compromessa oppure per modificare la tua applicazione in modo che utilizzi un algoritmo diverso.
Frequenza di rotazione delle chiavi
Ti consigliamo di ruotare i tasti automaticamente in base a una pianificazione regolare. Una pianificazione di rotazione definisce la frequenza di rotazione e, facoltativamente, la data e l'ora in cui si verifica la prima rotazione. La pianificazione della rotazione può essere basata sull'età della chiave, sul numero o sul volume di messaggi criptati con una versione della chiave.
Alcune normative di sicurezza richiedono la rotazione automatica periodica delle chiavi. La rotazione automatica delle chiavi in un periodo definito, ad esempio ogni 90 giorni, aumenta la sicurezza con una complessità amministrativa minima.
Devi anche ruotare manualmente una chiave se sospetti che sia stata compromessa o quando le linee guida di sicurezza richiedono la migrazione di un'applicazione a un algoritmo della chiave più efficace. Puoi pianificare una rotazione manuale per una data e un'ora future. La rotazione manuale di una chiave non mette in pausa, modifica né influisce in altro modo su una pianificazione di rotazione automatica esistente per la chiave.
Non fare affidamento sulla rotazione manuale o irregolare come componente principale della sicurezza della tua applicazione.
Considerazioni sulle chiavi asimmetriche
Cloud KMS non supporta la rotazione automatica per le chiavi asimmetriche, perché sono necessari passaggi aggiuntivi prima di poter utilizzare la nuova versione della chiave asimmetrica.
Per le chiavi asimmetriche utilizzate per la firma, devi distribuire la parte della chiave pubblica della nuova versione della chiave. In seguito, puoi specificare la nuova versione della chiave nelle chiamate al metodo
CryptoKeyVersions.asymmetricSignper creare una firma e aggiornare le applicazioni in modo che utilizzino la nuova versione della chiave.Per le chiavi asimmetriche utilizzate per la crittografia, devi distribuire e incorporare la parte pubblica della nuova versione della chiave nelle applicazioni che criptano i dati e concedere l'accesso alla parte privata della nuova versione della chiave, per le applicazioni che decriptano i dati.
Passaggi successivi
- Ruota una chiave.
- Attivare o disattivare una chiave.
- Scopri di più sulla crittografia dei dati.