Rotazione di una chiave

Questo argomento illustra la rotazione delle chiavi in Cloud Key Management Service. Per istruzioni specifiche sulla rotazione di una chiave, consulta la sezione Rotazione delle chiavi.

Perché ruotare le chiavi?

Per la crittografia simmetrica, la rotazione periodica e automatica delle chiavi è una prassi di sicurezza consigliata. Alcuni standard di settore, come lo standard Security Card Industry Data Security (PCI DSS), richiedono la rotazione regolare delle chiavi.

Cloud Key Management Service non supporta la rotazione automatica delle chiavi asimmetriche. Consulta la sezione Considerazioni sulle chiavi asimmetriche di seguito.

La rotazione delle chiavi offre diversi vantaggi:

  • Limitare il numero di messaggi criptati con la stessa versione della chiave contribuisce a prevenire gli attacchi attivati dalla crittoanalisi. I consigli per tutta la durata della chiave dipendono dall'algoritmo della chiave, nonché dal numero di messaggi prodotti o dal numero totale di byte criptati con la stessa versione della chiave. Ad esempio, la durata di chiave consigliata per le chiavi di crittografia simmetriche in modalità Galois/Counter (GCM) si basa sul numero di messaggi criptati, come indicato all'indirizzo https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-38d.pdf.

  • Nel caso in cui una chiave venga compromessa, la rotazione regolare limita il numero di messaggi reali vulnerabili a compromissione.

    Se sospetti che una versione della chiave sia compromessa, disattivala e revoca l'accesso il prima possibile.

  • La rotazione regolare delle chiavi assicura che il sistema sia resiliente alla rotazione manuale, a causa di una violazione della sicurezza o della necessità di eseguire la migrazione dell'applicazione a un algoritmo crittografico più efficace. Convalida le tue procedure di rotazione delle chiavi prima che si verifichi un incidente di sicurezza reale.

Puoi anche eseguire manualmente la rotazione di una chiave perché è compromessa o per modificare l'applicazione in modo che utilizzi un algoritmo diverso.

Frequenza di rotazione delle chiavi

Ti consigliamo di ruotare le chiavi automaticamente secondo una programmazione regolare. Una pianificazione di rotazione definisce la frequenza della rotazione e, facoltativamente, la data e l'ora in cui si verifica la prima rotazione. La pianificazione di rotazione può essere basata sull'età della chiave o sul numero o volume di messaggi criptati con una versione della chiave.

Alcune normative di sicurezza richiedono la rotazione periodica automatica delle chiavi. La rotazione automatica delle chiavi in un periodo definito, ad esempio ogni 90 giorni, aumenta la sicurezza con una minima complessità amministrativa.

Dovresti anche eseguire la rotazione manuale di una chiave se sospetti che sia stata compromessa o se le linee guida sulla sicurezza richiedono la migrazione di un'applicazione a un algoritmo più sicuro. Puoi pianificare una rotazione manuale per una data e un'ora nel futuro. La rotazione manuale di una chiave non mette in pausa, modifica o influisce in altro modo su una pianificazione di rotazione automatica esistente per la chiave.

Non fare affidamento sulla rotazione irregolare o manuale come componente principale della sicurezza della tua applicazione.

Considerazioni sulle chiavi asimmetriche

Cloud KMS non supporta la rotazione automatica per le chiavi asimmetriche, perché sono necessari ulteriori passaggi per poter utilizzare la nuova versione della chiave asimmetrica.

  • Per le chiavi asimmetriche utilizzate per la firma, devi distribuire la parte della chiave pubblica della nuova versione della chiave. Successivamente, puoi specificare la nuova versione della chiave nelle chiamate al metodo CryptoKeyVersions.asymmetricSign per creare una firma e aggiornare le applicazioni in modo che utilizzino la nuova versione della chiave.

  • Per le chiavi asimmetriche utilizzate per la crittografia, devi distribuire e incorporare la parte pubblica della nuova versione della chiave nelle applicazioni che criptano i dati e concedere l'accesso alla parte privata della nuova versione della chiave, per le applicazioni che decriptano i dati.

Passaggi successivi