Schlüsselrotation

In diesem Thema wird die Schlüsselrotation in Cloud Key Management Service erläutert. Eine genaue Anleitung zum Rotieren eines Schlüssels finden Sie unter Schlüssel rotieren.

Warum werden Schlüssel rotiert?

Für die symmetrische Verschlüsselung wird die regelmäßige und automatische Schlüsselrotation empfohlen. Einige Branchenstandards, darunter der Payment Card Industry Data Security Standard (PCI DSS), erfordern die regelmäßige Schlüsselrotation.

Cloud Key Management Service bietet keine Unterstützung für die automatische Rotation asymmetrischer Schlüssel. Weitere Informationen finden Sie im Abschnitt Überlegungen zu asymmetrischen Schlüsseln unten.

Das Rotieren von Schlüssel bieten mehrere Vorteile:

  • Durch die Begrenzung der Anzahl an Nachrichten, die mit derselben Schlüsselversion verschlüsselt werden, können Angriffe durch Kryptoanalyse erschwert werden. Empfehlungen zum Schlüssellebenszyklus hängen vom Algorithmus des Schlüssels sowie von der Anzahl der Nachrichten oder der Gesamtzahl der Byte ab, die mit derselben Schlüsselversion verschlüsselt wurden. Beispiel: Die empfohlene Lebensdauer für symmetrische Verschlüsselungsschlüssel im GCM (Galois/Counter Mode) basiert auf der Anzahl der verschlüsselten Nachrichten, wie unter https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38d.pdf erläutert.

  • Für den Fall, dass ein Schlüssel manipuliert wurde, beschränkt die regelmäßige Rotation die Anzahl der tatsächlich manipulierbaren Nachrichten.

    Wenn Sie den Verdacht haben, dass eine Schlüsselversion manipuliert wurde, deaktivieren Sie sie und widerrufen Sie so schnell wie möglich den Zugriff darauf.

  • Regelmäßige Schlüsselrotation sorgt dafür, dass Ihr System gegen eine manuelle Rotation resistent ist, unabhängig davon, ob es sich um eine Sicherheitsverletzung handelt oder die Anwendung auf einen stärkeren kryptografischen Algorithmus migriert werden muss. Prüfen Sie Ihre Schlüsselrotationsverfahren, bevor ein echter Sicherheitsvorfall eintritt.

Sie können einen Schlüssel auch manuell rotieren, entweder weil er kompromittiert wurde, oder um Ihre Anwendung so zu ändern, dass sie einen anderen Algorithmus verwendet.

Wie oft sollten Schlüssel rotiert werden

Wir empfehlen, dass Sie Schlüssel nach einem regelmäßigen Zeitplan automatisch rotieren. Ein Rotationsplan definiert die Häufigkeit der Rotation und optional Datum und Uhrzeit der ersten Rotation. Der Rotationsplan kann auf dem Alter des Schlüssels oder auf der Anzahl oder dem Volumen der Nachrichten basieren, die mit einer Schlüsselversion verschlüsselt wurden.

Einige Sicherheitsbestimmungen erfordern eine regelmäßige, automatische Schlüsselrotation. Die automatische Schlüsselrotation zu einem definierten Zeitraum, z. B. 90 Tage, erhöht die Sicherheit mit minimaler administrativer Komplexität.

Sie sollten auch einen Schlüssel manuell rotieren, wenn Sie vermuten, dass er manipuliert wurde, oder wenn Sie gemäß Sicherheitsrichtlinien eine Anwendung zu einem effizienteren Schlüsselalgorithmus migrieren müssen. Sie können eine manuelle Rotation für ein Datum und eine Uhrzeit in der Zukunft planen. Das manuelle Rotieren eines Schlüssels wirkt sich nicht auf einen vorhandenen automatischen Rotationsplan für den Schlüssel aus, ändert ihn nicht oder wirkt sich anderweitig auf ihn aus.

Verlassen Sie sich nicht auf die spezielle oder manuelle Rotation als primäre Komponente der Anwendungssicherheit.

Überlegungen zu asymmetrischen Schlüsseln

Cloud KMS unterstützt nicht die automatische Rotation für asymmetrische Schlüssel, da zusätzliche Schritte erforderlich sind, bevor Sie die neue Version des asymmetrischen Schlüssels verwenden können.

  • Bei asymmetrischen Schlüsseln für das Signieren müssen Sie den öffentlichen Schlüsselabschnitt der neuen Schlüsselversion verteilen. Anschließend können Sie die neue Schlüsselversion in Aufrufen der Methode CryptoKeyVersions.asymmetricSign angeben, um eine Signatur zu erstellen, und Anwendungen aktualisieren, um die neue Schlüsselversion zu verwenden.

  • Bei asymmetrischen Schlüsseln für die Verschlüsselung müssen Sie den öffentlichen Teil der neuen Schlüsselversion verteilen und in Anwendungen, die Daten verschlüsseln, einbinden und den Zugriff auf den privaten Teil der neuen Schlüsselversion für Anwendungen, die Daten entschlüsseln, gewähren.

Weitere Informationen