Rotación de claves

Rotación en Cloud KMS

En Cloud KMS, una rotación de clave se representa mediante la generación de una versión de clave nueva para una clave y con la marcación de esa versión como la primaria.

Crear una versión de clave nueva genera el material de clave criptográfica nuevo, y marcar esa versión de clave como la primaria hace que esta se use para encriptar datos nuevos. Cada clave tiene una versión primaria designada en algún momento, versión que Cloud KMS usa de manera predeterminada para encriptar datos.

La rotación de una clave no inhabilita o destruye versiones de clave anteriores. Las versiones de clave anteriores ya no serán las primarias, pero permanecen disponibles para desencriptar datos.

Razones para rotar una clave

La rotación de las claves facilita el cumplimiento de las prácticas de seguridad estandarizadas, como los requisitos del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS). La rotación frecuente de claves es una práctica de seguridad recomendada debido a las siguientes razones:

  • Para limitar el número de mensajes encriptados disponibles para realizar un criptoanálisis de una versión de clave específica. Del mismo modo, para limitar el número total de bytes cifrados disponibles para realizar un criptoanálisis de una versión de clave específica. Las recomendaciones del ciclo de vida de la clave son específicas del algoritmo y están basadas en la cantidad de mensajes producidos o en el número total de bytes cifrados. Por ejemplo, el ciclo de vida de clave recomendado para las claves simétricas en modo Galois/contador (GCM) está basado en el número de mensajes encriptados, como se indica en https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38d.pdf.

  • Para garantizar que tu sistema esté preparado en el caso de que necesites rotar a un algoritmo más sólido. Si la rotación de clave no forma parte de tu operación en curso, el sistema tiende a volverse dependiente de claves específicas, lo que dificulta la inicialización de la rotación de clave después de un incidente.

    Del mismo modo, para garantizar que tu sistema esté preparado si se filtra una clave. La primera vez que intentas la rotación de clave no debe ser durante la recuperación de un incidente en tiempo real.

  • Para reducir el volumen del cifrado que estaría desprotegido si una versión de clave se ve comprometida.

  • Para evitar el uso de una versión de clave que esté comprometida o presuntamente comprometida.

Frecuencia de rotación de claves

Las claves de encriptación se pueden rotar de dos formas, como se describe a continuación:

  • Rotación regular: Rota regularmente la clave de encriptación usada, lo que limita la cantidad de datos protegidos por una sola clave. La rotación regular puede ser obligatoria para el cumplimiento interno de la empresa.
  • Rotación irregular: Rotación Ad-hoc después de un incidente sospechoso, como una solución provisional adicional. Es posible que los datos encriptados con la versión anterior de la clave deban volver a encriptarse.

Contar con un programa de rotación regular, por ejemplo, cada 90 días, ofrece otro beneficio de seguridad sin mayor complejidad. La rotación regular limita la cantidad de datos encriptados con una sola clave, evita el bloqueo de la clave en caso de que se requiera una rotación irregular y permite que la inhabilitación de la versión de clave se use para restringir el acceso a datos más antiguos.

Una implementación más rigurosa y completa también podría tener un programa de inhabilitación, para volver a encriptar datos antiguos y, luego, inhabilitar las claves después de cierto período, p. ej., 20 versiones de clave habilitadas por hasta 5 años de datos. Esto resulta difícil de implementar de manera segura y correcta.

No se recomienda depender únicamente de la rotación irregular, sino usarla si se necesita en combinación con un programa de rotación regular.

Rotación automática

Cloud KMS automáticamente rotará tus claves por ti si le proporcionas un programa de rotación. El programa de rotación de una clave se puede configurar con la herramienta de línea de comandos de gcloud o a través de Google Cloud Platform Console.

Un programa de rotación está definido por un período de rotación y la próxima fecha de rotación. El período de rotación es el tiempo que transcurre entre la generación automática de las versiones de clave nuevas, y debe ser de un día, como mínimo. La próxima fecha de rotación se refiere a la fecha de la siguiente rotación programada, que debe ser en el futuro. La rotación automática comenzará en la próxima fecha de rotación y ocurre después de cada período de rotación.

Si solo se especifica la próxima fecha de rotación (sin período de rotación), la clave se programará para una sola rotación en esa fecha, en la cual se borrará el campo. Especificar solo el período de rotación sin una próxima fecha de rotación da como resultado un error.

Las rotaciones de clave realizadas manualmente a través de los métodos CreateCryptoKeyVersion y UpdateCryptoKeyVersion no afectan al programa de rotación de una clave.

Cuando habilitas la rotación automática con la herramienta de línea de comandos de gcloud, puedes especificar cualquier duración para el período de rotación. Cuando habilites la rotación automática en GCP Console, el período de rotación ofrece opciones comunes (p. ej., 30 días), pero también puedes configurarlo en una cantidad de días personalizada.

Rotación manual

La rotación manual se puede usar para la rotación irregular de claves, así como para la rotación de claves administrada fuera de Cloud KMS. Las claves se pueden rotar manualmente con la herramienta de línea de comandos de gcloud o a través de GCP Console.

Consideraciones para la rotación

  • Si usas los comandos de rotación de claves anteriores, la rotación de clave NO vuelve a encriptar datos ya encriptados con la versión de clave recién generada. Si sospechas que una clave se usa sin autorización, debes volver a encriptar los datos que esta protege y, luego, inhabilitar o programar la destrucción de la versión de clave anterior.
¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...