根密钥轮换-标准套餐
您可以根据需要或通过设置轮换策略来轮换 Hyper Protect Crypto Services 实例中管理的根密钥。 当您撤销原始密钥资料并为根密钥生成新的密钥资料时,将进行密钥轮换。
定期旋转密钥可帮助您满足行业标准和加密最佳实践。 下表描述了密钥轮换的主要优点:
| 优点 | 描述 |
|---|---|
| 密钥的加密期管理 | 密钥轮换可限制信息受单个密钥保护的时长。 通过定期轮换根密钥,还可以缩短密钥的加密期。 加密密钥的生命周期越长,出现安全漏洞的可能性越高。 |
| 事件缓解 | 如果您的组织检测到安全问题,您可以立即轮换密钥,以降低或减少与密钥泄漏相关的成本。 |
NIST Special Publication 800-57 Recommendation for Key Management 中对密钥轮换进行了介绍。 要了解更多信息,请参阅 NIST SP 800-57 Pt. 1 Rev.$tag3
比较根密钥轮换选项
在 Hyper Protect Crypto Services中,您可以 随需应变地轮换根密钥 或 设置轮换策略,而无需跟踪已引退的根密钥资料。
- 设置密钥轮换策略
- Hyper Protect Crypto Services 有助于简化加密密钥的轮换,方法是为服务中生成的密钥启用轮换策略。 创建根密钥后,可以在 UI 中或使用 API 来管理密钥的轮换策略。 根据持续的安全需求,为密钥选择介于 1-12 个月之间的自动轮换时间间隔。 根据指定的轮换时间间隔,需要轮换密钥时,Hyper Protect Crypto Services 会自动使用新密钥资料替换该密钥。
- 按需旋转密钥
- 作为安全管理员,可能要更好地控制密钥的轮换频率。 如果不想为密钥设置自动轮换策略,可以手动创建一个新密钥来替换现有密钥,并随后更新应用程序以使其引用该新密钥。 要简化此过程,可以使用 Hyper Protect Crypto Services 根据需要轮换密钥。 在此场景中,Hyper Protect Crypto Services 会代表您为每个轮换请求创建密钥并进行替换。 该密钥保留相同的元数据和密钥标识。
根密钥轮换的工作方式
根密钥轮换通过将密钥材料从 活动 安全地转换为 已取消激活 密钥状态来工作。 要替换已取消激活或已撤销的密钥资料,新密钥资料将进入 活动 状态,并可用于加密操作。 有关不同密钥状态的更多信息,请参阅 监视加密密钥的生命周期。
使用 Hyper Protect Crypto Services 来轮换根密钥
当您准备使用 Hyper Protect Crypto Services 轮换根密钥时,请记住以下注意事项。
- 轮换 Hyper Protect Crypto Services 中生成的根密钥
- 您可以使用 Hyper Protect Crypto Services 通过为密钥设置轮换策略或根据需要轮换密钥来轮换在 Hyper Protect Crypto Services 中生成的根密钥。 当您轮换密钥时,根密钥 (例如密钥标识) 的元数据不会更改。
- 轮换移至服务的根密钥
- 要轮换最初导入到服务的根密钥,必须为该密钥生成并提供新的密钥资料。 您可以使用 Hyper Protect Crypto Services 根据需要旋转导入的根密钥,方法是在旋转请求中提供新的密钥资料。 当您轮换密钥时,根密钥 (例如密钥标识) 的元数据不会更改。 由于必须提供新的密钥资料才能轮换已导入的密钥,因此自动轮换策略不适用于已导入密钥资料的根密钥。
- 管理已作废的根密钥资料
- 轮换根密钥之后,Hyper Protect Crypto Services 会创建新的密钥资料。 服务将撤销旧密钥资料并保留已撤销的版本,直到删除根密钥为止。 使用根密钥进行包络加密时,Hyper Protect Crypto Services 仅会使用与该密钥关联的最新密钥资料。 已撤销的密钥资料不能再用于保护密钥,但仍可用于解包操作。 当 Hyper Protect Crypto Services 检测到您正在使用已撤销的密钥资料来解包 DEK 时,该服务会提供基于最新根密钥资料的新打包的 DEK。
- 为 IBM Cloud 数据服务启用根密钥轮换
- 要在 IBM Cloud上为数据服务启用这些根密钥轮换选项,数据服务必须与 Hyper Protect Crypto Services集成。 请参阅 IBM Cloud 数据服务的文档,或者查看我们的 集成服务列表以了解更多信息。
在 Hyper Protect Crypto Services中轮换根密钥时,不会向您收取额外费用。 您可以继续使用已撤销的密钥资料来解包已打包的数据加密密钥 (WDEK),而无需支付额外费用。 有关定价选项的更多信息,请参阅 Hyper Protect Crypto Services 目录页面。
了解根密钥轮换过程
在后台,Hyper Protect Crypto Services 密钥管理服务 API 会驱动密钥轮换过程。
下图显示了密钥轮换功能的上下文视图。
每次收到轮换请求时,Hyper Protect Crypto Services 都会将新的密钥资料与根密钥相关联。
要了解如何使用 Hyper Protect Crypto Services 密钥管理服务 API 来轮换根密钥,请参阅 轮换密钥。
旋转根密钥后重新包装数据
根密钥轮换完成后,新的根密钥资料将可用于使用 包络加密 来保护数据加密密钥 (DEK)。 已撤销的根密钥资料将进入“已取消激活”状态,在此状态下,它只能用于解包和访问尚未受最新根密钥保护的旧 DEK。
要保护包络加密工作流程,请在轮换根密钥后 重新打包 DEK,以便最新的根密钥保护静态数据。 或者,如果 Hyper Protect Crypto Services 检测到您正在使用已停用的根密钥材料来解包 DEK,那么服务会自动重新加密 DEK 并返回基于最新根密钥的打包数据加密密钥 (WDEK)。 存储并使用新的 WDEK,以便将来使用最新的根密钥资料来保护 DEK 的解包操作。
要了解如何使用 Hyper Protect Crypto Services 密钥管理服务 API 来重新打包数据加密密钥,请参阅 重新打包密钥。
根密钥旋转的频率
在 Hyper Protect Crypto Services中生成根密钥后,决定旋转的频率。 密钥轮换的原因可能是人员流动、流程故障或您组织的内部密钥到期策略。
根据加密最佳实践,应定期轮换密钥,例如每 30 天。
| 轮换类型 | 频率 | 描述 |
|---|---|---|
| 基于策略的根密钥轮换 | 每 1 - 12 个月 | 基于持续的安全需求为密钥选择一个介于 1 到 12 个月之间的轮换时间间隔。 为密钥设置轮换策略后,时钟将根据密钥的初始创建日期立即启动。 例如,如果为 2019/02/01 创建的密钥设置按每月轮换策略,那么 Hyper Protect Crypto Services 会在 2019/03/01 自动轮换该密钥。 |
| 随需应变根密钥轮换 | 最多每小时轮换一次 | 如果您是按需旋转密钥,那么 Hyper Protect Crypto Services 允许每个根密钥每小时旋转一次。 |