Estados de clave

Estado de la versión de clave

La versión de clave tiene un estado:

  • Generación pendiente (PENDING_GENERATION): (Solo aplica a las claves asimétricas) Esta versión de clave aún se está generando. Todavía no se puede usar, habilitar, inhabilitar ni destruir. Cloud Key Management Service cambiará automáticamente el estado a habilitado en cuanto esté lista la versión.

  • Habilitado (ENABLED): La versión de clave está lista para usarse.

  • Inhabilitado (DISABLED): Esta versión de clave no se puede usar, pero el material de clave aún está disponible y la versión se puede volver a colocar en el estado habilitado.

  • Programado para su destrucción (DESTROY_SCHEDULED): Esta versión de clave está programada para su destrucción próximamente. Se puede volver a colocar en el estado inhabilitado.

  • Destruido (DESTROYED): Esta versión de clave está destruida y el material de clave ya no está almacenado en Cloud KMS. Si la versión de clave se usó para encriptación asimétrica o simétrica, ningún cifrado encriptado con esta versión se puede recuperar. Si la versión de clave se usó para la firma digital, no se pueden crear firmas nuevas. Además, en el caso de todas las versiones de clave asimétricas, la clave pública ya no está disponible para su descarga. Una vez que una versión de clave ingresa en este estado, la acción es irreversible.

Cambia los estados de una versión de clave

A continuación, se describe cómo una versión de claves cambia de estados:

  • Cuando se crea una versión de clave de una clave asimétrica, inicia con un estado de generación pendiente. Cuando Cloud KMS termina de generar la versión de la clave, el estado se cambia automáticamente a habilitado.

  • Cuando se crea una versión de clave para una clave simétrica, inicia con un estado de habilitado.

  • Una versión de clave puede pasar de habilitado a inhabilitado, y de inhabilitado a habilitado con UpdateCryptoKeyVersion y las interfaces para este método. Por ejemplo, consulta Habilita e inhabilita versiones de clave.

  • Una versión de clave que se habilita o inhabilita puede pasar al estado programado para su destrucción con DestroyCryptoKeyVersion y las interfaces para este método. Por ejemplo, consulta Programa una versión de clave para su destrucción.

  • Una versión de clave que está programada para su destrucción puede regresar al estado inhabilitado con RestoreCryptoKeyVersion y las interfaces para este método. Por ejemplo, consulta Restablece una versión de clave.

En el siguiente diagrama se muestran los estados permitidos para una versión de clave.

Estados de versión de claves

Ten en cuenta que solo las versiones de clave para claves asimétricas inician en el estado generación pendiente. Las versiones de clave para claves simétricas inician en el estado habilitado.

Impacto del estado de la versión de clave en las operaciones criptográficas

El impacto del estado de la versión de clave en las operaciones criptográficas depende de si la clave se usa para alguna de las siguientes opciones:

  • Encriptación simétrica
  • Encriptación asimétrica o firma digital

Encriptación simétrica

Cada clave de encriptación simétrica cuenta con una versión primaria designada que se usa en ese momento para encriptar datos. A fin de que una clave esté disponible para encriptar datos, esta necesita tener una versión de clave primaria que esté habilitada.

Cuando se usa una clave para encriptar texto sin formato, su versión de clave primaria se usa a fin de encriptar esos datos. La información en cuanto a cuál versión se usó para encriptar datos se almacena en el cifrado de los datos. Solo una versión de la clave puede ser la primaria en un momento dado.

Si la versión de clave primaria está inhabilitada, esa versión de clave no se puede usar para encriptar datos. Ten en cuenta que una versión clave primaria habilitada puede inhabilitarse, programarse para su destrucción o destruirse, y una versión que no está habilitada puede convertirse en la versión primaria.

Cualquiera que sea la versión de clave primaria, esta no tiene ningún impacto en la capacidad para desencriptar datos. Una versión de clave se puede usar para desencriptar datos mientras esté habilitada.

Encriptación asimétrica o firma digital

Cada vez que se usa una clave simétrica para la encriptación o la firma digital, se debe especificar una versión de clave. A fin de que una versión de clave esté disponible para la encriptación asimétrica o la firma digital, esta debe estar habilitada. Puedes recuperar la clave pública de una versión de clave solo si esta última está habilitada.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud KMS