Schlüsselrotation

In diesem Thema wird die Schlüsselrotation in Cloud Key Management Service erläutert. Eine genaue Anleitung zum Rotieren eines Schlüssels finden Sie unter Schlüssel rotieren.

Warum werden Schlüssel rotiert?

Für die symmetrische Verschlüsselung werden Sicherheitsschlüssel regelmäßig und automatisch rotiert. Einige Branchenstandards, wie der Payment Card Industry Data Security Standard (PCI DSS), erfordern die normale Rotation von Schlüsseln.

Cloud Key Management Service bietet keine Unterstützung für die automatische Rotation asymmetrischer Schlüssel. Siehe Hinweise zu asymmetrischen Schlüsseln weiter unten.

Das Rotieren von Schlüssel bieten mehrere Vorteile:

  • Durch die Begrenzung der Anzahl von Nachrichten, die mit derselben Schlüsselversion verschlüsselt wurden, können Brute-Force-Angriffe durch Kryptoanalyse verhindert werden. Empfehlungen zum Schlüssellebenszyklus hängen vom Algorithmus des Schlüssels sowie von der Anzahl der Nachrichten oder der Gesamtzahl der Byte ab, die mit derselben Schlüsselversion verschlüsselt wurden. Beispiel: Die empfohlene Lebensdauer für symmetrische Verschlüsselungsschlüssel im Galois/Counter Mode (GCM) basiert auf der Anzahl der verschlüsselten Nachrichten, wie unter https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38d.pdf.

  • Für den Fall, dass ein Schlüssel manipuliert wurde, beschränkt die regelmäßige Rotation die Anzahl der tatsächlich manipulierbaren Nachrichten.

    Wenn Sie den Verdacht haben, dass eine Schlüsselversion manipuliert wurde, deaktivieren Sie sie und widerrufen Sie so schnell wie möglich den Zugriff darauf.

  • Regelmäßige Schlüsselrotation sorgt dafür, dass Ihr System gegen eine manuelle Rotation resistent ist, unabhängig davon, ob es sich um eine Sicherheitsverletzung handelt oder die Anwendung auf einen stärkeren kryptografischen Algorithmus migriert werden muss. Prüfen Sie Ihre Schlüsselrotationsverfahren, bevor ein echter Sicherheitsvorfall eintritt.

Sie können einen Schlüssel auch manuell rotieren, entweder weil er kompromittiert wurde, oder um Ihre Anwendung so zu ändern, dass sie einen anderen Algorithmus verwendet.

Wie oft sollten Schlüssel rotiert werden

Wir empfehlen, dass Sie Schlüssel nach einem regelmäßigen Zeitplan automatisch rotieren. Ein Rotationsplan definiert die Häufigkeit der Rotation und optional das Datum und die Uhrzeit der ersten Rotation. Der Rotationsplan kann entweder auf dem Alter des Schlüssels oder auf der Anzahl oder dem Volumen der Nachrichten basieren, die mit einer Schlüsselversion verschlüsselt wurden.

Einige Sicherheitsvorschriften erfordern eine regelmäßige automatische Schlüsselrotation. Die automatische Schlüsselrotation innerhalb eines festgelegten Zeitraums – z. B. alle 90 Tage – erhöht die Sicherheit bei minimaler Komplexität der Verwaltung.

Sie sollten auch einen Schlüssel manuell rotieren, wenn Sie vermuten, dass er manipuliert wurde oder wenn aufgrund von Sicherheitsrichtlinien eine Anwendung zu einem stärkeren Schlüsselalgorithmus migriert werden muss. Sie können eine manuelle Rotation für ein Datum und eine Uhrzeit in der Zukunft planen. Mit dem manuellen Rotieren eines Schlüssels wird weder der vorhandene Zeitplan für die automatische Rotation für den Schlüssel noch die Instanz pausiert oder geändert.

Verlassen Sie sich bei der Anwendungssicherheit nicht auf eine unregelmäßige oder manuelle Rotation.

Überlegungen zu asymmetrischen Schlüsseln

Cloud KMS unterstützt nicht die automatische Rotation für asymmetrische Schlüssel, da zusätzliche Schritte erforderlich sind, bevor Sie die neue Version des asymmetrischen Schlüssels verwenden können.

  • Bei asymmetrischen Schlüsseln für das Signieren müssen Sie den öffentlichen Schlüsselabschnitt der neuen Schlüsselversion verteilen. Anschließend können Sie in Aufrufen der Methode CryptoKeyVersions.asymmetricSign die neue Schlüsselversion angeben, um eine Signatur zu erstellen, und Anwendungen aktualisieren, um die neue Schlüsselversion zu verwenden.

  • Bei asymmetrischen Schlüsseln für die Verschlüsselung müssen Sie den öffentlichen Teil der neuen Schlüsselversion verteilen und in Anwendungen, die Daten verschlüsseln, einbinden und den Zugriff auf den privaten Teil der neuen Schlüsselversion für Anwendungen, die Daten entschlüsseln, gewähren.

Nächste Schritte