Estados de chave

Estado da versão de chave

A versão da chave tem um estado:

  • Geração pendente (PENDING_GENERATION): aplica-se apenas a chaves assimétricas. A versão desta chave ainda está sendo gerada. Ela não pode ser usada, ativada, desativada ou destruída ainda. O Cloud Key Management Service mudará automaticamente o estado para ativado assim que a versão estiver pronta.

  • Ativado (ENABLED): a versão da chave está pronta para uso.

  • Desativado (DISABLED): a versão desta chave não pode ser usada, mas o material da chave ainda está disponível, e a versão pode ser revertida ao estado Ativado.

  • Programado para destruição (DESTROY_SCHEDULED): a versão desta chave está programada para destruição e será destruída em breve. É possível revertê-la ao estado Desativado.

  • Destruído (DESTROYED): a versão desta chave foi destruída, e o material da chave não está mais armazenado no Cloud KMS. Se a versão da chave foi usada para criptografia assimétrica ou simétrica, qualquer texto criptografado com essa versão não será recuperável. Se a versão da chave foi usada para assinatura digital, novas assinaturas não poderão ser criadas. Além disso, para todas as versões de chave assimétrica, a chave pública não está mais disponível para download. Uma versão de chave não pode deixar o estado destruído depois que ele foi inserido.

Como alterar os estados de uma versão de chave

Veja a seguir como os estados de uma versão de chave podem ser alterados:

  • Quando uma versão de chave para uma chave assimétrica é criada, ela começa com um estado de geração pendente. Quando o Cloud KMS conclui a geração da versão da chave, o estado dela é alterado automaticamente para ativado.

  • Quando uma versão de chave para uma chave simétrica é criada, ela inicia com um estado de ativado.

  • Pode-se alterar o estado de uma versão de chave de ativado para desativado e de desativado para ativado usando UpdateCryptoKeyVersion e interfaces para esse método. Para exemplos, consulte Como ativar e desativar versões de chave.

  • O estado de uma versão de chave ativada ou desativada pode ser alterado para programado para destruição usando DestroyCryptoKeyVersion e interfaces para esse método. Para exemplos, consulte Agendar uma versão de chave para destruição.

  • O estado de uma versão de chave programada para destruição pode ser revertido para desativado usando RestoreCryptoKeyVersion e interfaces para esse método. Para exemplos, consulte Restaurar uma versão da chave.

O diagrama a seguir mostra os estados permitidos para uma versão de chave.

Estados da versão de chave

Observe que apenas versões de chave para chaves assimétricas começam no estado de geração pendente. Versões de chaves para chaves simétricas começam no estado ativado.

Impacto do estado da versão chave em operações criptográficas

O impacto do estado da versão de chave em operações criptográficas depende se a chave é usada para:

  • Criptografia simétrica
  • criptografia assimétrica ou assinatura digital.

Criptografia simétrica

Todas as chaves de criptografia simétrica têm uma versão principal designada que é usada para criptografar dados. Para que uma chave fique disponível para uso em dados criptografados, ela precisa ter uma versão de chave principal ativada.

Quando uma chave é usada para criptografar texto simples, a respectiva versão principal é usada para criptografar os dados. As informações sobre a versão que foi utilizada para criptografar dados são armazenadas no texto cifrado dos dados. Apenas uma versão da chave pode ser a principal em um determinado momento.

Se a versão de chave principal estiver desativada, essa versão não poderá ser usada para criptografar dados. É possível que uma versão de chave principal ativada seja desativada, programada para destruição ou destruída, e uma versão não ativada passe a ser a principal.

A versão de chave principal não afeta a capacidade de descriptografar dados. Uma versão de chave pode ser usada para descriptografar dados, desde que ela esteja ativada.

Criptografia assimétrica ou assinatura digital

Cada vez que uma chave assimétrica é usada para criptografia ou assinatura digital, uma versão de chave precisa ser especificada. Para que a versão da chave esteja disponível para criptografia assimétrica ou assinatura digital, a versão da chave precisa estar ativada. É possível recuperar a chave pública de uma versão de chave somente se ela estiver ativada.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud KMS