Lebenszyklus von Verschlüsselungsschlüsseln verwalten
IBM® Key Protect for IBM Cloud® folgt den etablierten Sicherheitsrichtlinien gemäß NIST SP 800-57 für Schlüsselstaaten.
Schlüsselstatuswerte und -übergänge
Kryptografische Schlüssel wechseln häufig durch mehrere Zustände, die eine Funktion sind, wie lange die Schlüssel vorhanden sind und ob sie derzeit zum Verschlüsseln von Daten verwendet werden.
Key Protect stellt eine grafische Benutzerschnittstelle und eine REST-API für die Verfolgung von Schlüsseln während der verschiedenen Phasen ihres Lebenszyklus bereit. Das folgende Diagramm veranschaulicht die Status, die ein Schlüssel vom Generieren bis zum Löschen durchläuft.
Obwohl in diesem Diagramm die Schlüssel in einem Status "Vorabaktivierung" angezeigt werden, definiert ein in NIST-Standards definierter Zustand aus technischer Sicht "voraktiv" einen Status, bevor ein Schlüssel vorhanden ist. Schlüssel, die noch nicht existieren, können natürlich keinen Status haben. Dennoch wird er hier der konzeptionellen Vollständigkeit halber gezeigt. Der "bereinigte" Status eines Schlüssels, bei dem das Schlüsselmaterial eine bestimmte Zeit, nachdem der Schlüssel in den Status Gelöscht versetzt wurde, dauerhaft geschreddert wurde, ist in diesem Diagramm nicht dargestellt und ist ebenfalls ein Status der Nichtexistenz.
| Status | Ganzzahlige Zuordnung | Beschreibung |
|---|---|---|
| Aktiv | 1 | Schlüssel werden am Aktivierungsdatum sofort in den Status Aktiv versetzt. Dieser Übergang markiert den Beginn des Verschlüsselungszeitraums eines Schlüssels. Schlüssel ohne Aktivierungsdatum werden sofort aktiv und bleiben aktiv, bis sie ablaufen oder gelöscht werden. |
| Ausgesetzt | 2 | Ein Schlüssel wird in den Status Ausgesetzt versetzt, wenn er für Ver- und Entschlüsselungsoperationen inaktiviert ist. In diesem Status kann der Schlüssel keine Daten durch Verschlüsselung schützen und kann nur in die Status Aktiv oder Gelöscht versetzt werden. |
| Inaktiviert | 3 | Ein Schlüssel wird innerhalb einer Stunde nach dessen Ablaufdatum in den Status Inaktiviert versetzt, sofern eins zugeordnet ist. Für einen Schlüssel mit diesem Status können nur die Aktionen 'Wrapping aufheben', 'Wrapping erneut durchführen', 'Schlüsselrotation ausführen' und 'Löschen' ausgeführt werden. |
| Gelöscht | 5 | Schlüssel werden nach dem Löschen in den Status Gelöscht versetzt. Die Schlüssel in diesem Zustand können für 30 Tage wiederhergestellt werden, werden jedoch nach 90 Tagen für die Bereinigung auswählbar. Sie können auch vier Stunden, nachdem sie in den Status Gelöscht versetzt wurden, bei Bedarf bereinigt werden. Nachdem sie in den Status Gelöscht versetzt wurden, werden Metadaten, die einem Schlüssel zugeordnet sind, wie z. B. dessen Name und ein Datensatz zum Zeitpunkt des letzten Übergangs, in der Key Protect-Datenbank gespeichert, bis der Schlüssel bereinigt wird. Weitere Informationen finden Sie unter Informationen zum Löschen und Berideln von Schlüsseln. |
Seien Sie vorsichtig, wenn Sie ein Ablaufdatum festlegen, da Schlüssel, die mit einem Ablaufdatum erstellt wurden, innerhalb einer Stunde nach Ablauf automatisch in den Zustand "Deaktiviert" übergehen. In diesem Zustand sind die einzigen zulässigen Aktionen für die Taste "Auspacken", "Neu einpacken", "Drehen" und "Löschen". Deaktivierte Schlüssel können nicht zur Verschlüsselung neuer Daten verwendet werden, selbst wenn sie während der Deaktivierung gedreht wurden. Durch die Rotation wird das Verfallsdatum weder zurückgesetzt oder verlängert, noch kann das Datum geändert werden. Es wird empfohlen, Daten, die mit einem ablaufenden oder abgelaufenen Schlüssel verschlüsselt wurden, mit einem neuen Kundenstammschlüssel (Customer Root Key, CRK) neu zu verschlüsseln, bevor der ursprüngliche CRK abläuft, um Dienstunterbrechungen zu vermeiden. Durch das Löschen und Wiederherstellen eines deaktivierten Schlüssels wird dieser nicht wieder in den aktiven Zustand versetzt. Wenn das Attribut expiration_date weggelassen wird, läuft der Schlüssel nicht ab.
Sie können die Verwendung von Schlüsseln mit Verfallsdatum überwachen, indem Sie IBM Cloud Logs. In den Protokollen werden das Ablaufdatum und die Anzahl der verbleibenden Tage mithilfe der JSON-Eigenschaften responseData.expirationDate und responseData.daysToKeyExpire für Schlüssel mit Ablaufdatum und für die folgenden Werte action angegeben: kms.secrets.wrap, kms.secrets.unwrap, kms.secrets.rewrap, kms.secrets.read,
kms.secrets.readmetadata, kms.secrets.create, kms.secrets-with-policy-overrides.create und kms.secrets.expire. Darüber hinaus gibt ein erfolgreicher REST-Aufruf an GET /api/v2/keys die Eigenschaft expirationDate für jeden Schlüssel zurück, der ein Ablaufdatum hat.
Schlüsselstatuswerte und Serviceaktionen
Schlüsselstatuswerte bestimmen, ob eine Aktion, die an einem Schlüssel durchgeführt wird, erfolgreich ist oder fehlschlägt. Wenn ein Schlüssel beispielsweise den Status Aktiv hat, können Sie den Schlüssel nicht wiederherstellen, da der Schlüssel zuvor nicht gelöscht wurde.
In der folgenden Tabelle wird beschrieben, wie sich Schlüsselstatus auf Serviceaktionen auswirken. Die Spaltenüberschriften stellen die Schlüsselstatuswerte da und die Zeilenüberschriften stellen die Aktionen dar, die an einem Schlüssel ausgeführt
werden können. Das Häkchensymbol (
) gibt an, dass die Aktion für einen Schlüssel basierend auf dem Schlüsselstatus erfolgreich sein soll.
| Aktion | Aktiv | Ausgesetzt (inaktivierte Schlüssel) | Deaktiviert (abgelaufene Schlüssel) | Gelöscht (gelöschte Schlüssel) |
|---|---|---|---|---|
| Schlüssel abrufen | |
|
|
|
| Schlüssel auflisten | |
|
|
|
| Schlüssel rotieren | |
|
||
| Wrapping für Schlüssel durchführen | |
|||
| Key-Wrapping aufheben | |
|
||
| Rewrapping eines Schlüssels durchführen | |
|
||
| Schlüssel inaktivieren | |
|||
| Schlüssel aktivieren | |
|||
| Schlüssel löschen | |
|
|
|
| Schlüssel wiederherstellen | |
Verschlüsselungszeiträume, Verursacher-Nutzungszeiträume und Empfänger-Nutzungszeiträume
Wenn Sie mit den NIST-Standardbegriffen und Schlüsselverwaltungssystemen vertraut sind, dann kennen Sie wahrscheinlich auch die Konzepte einer "Kryptoperiode", einer "Urheber-Nutzungsperiode" und einer "Empfänger-Nutzungsperiode".
Eine "Kryptoperiode" beschreibt den gesamten Lebenszyklus eines Schlüssels. Wenn ein Schlüssel ein Jahr nach seiner Erstellung gelöscht wird, war die Kryptoperiode des Schlüssels ein Jahr. Die Kryptoperiode eines Schlüssels beginnt dann, wenn er erstellt wird.
In ähnlicher Weise beginnen auch die "Urheber-Nutzungsperiode" und die "Empfänger-Nutzungsperiode", wenn ein Schlüssel erstellt wird. Ersterer beschreibt die Zeit, in der ein Schlüssel zum Schutz von Daten durch Umhüllung verwendet werden kann. Die "Empfänger-Nutzungsdauer" hingegen beschreibt die Zeit, in der ein Schlüssel "ausgepackt" werden kann, um geschützte Daten zu entschlüsseln. Es sei daran erinnert, dass deaktivierte Schlüssel nicht mehr zum Einpacken von Daten verwendet werden können, wohl aber zum Auspacken. Wenn also ein Schlüssel in den Status Inaktiviert versetzt wird (z. B. durch Festlegen eines Ablaufdatums), ist der Nutzungszeitraum des Erstellers abgelaufen. Der Zeitraum für die Empfangsbereitschaft wird jedoch fortgesetzt, bis der Schlüssel gelöscht wird.
Wenn für einen Schlüssel kein Ablaufdatum festgelegt ist (und er nicht manuell ausgesetzt, deaktiviert oder zerstört wird), sind die Verwendungsdauer des Urhebers, die Verwendungsdauer des Empfängers und die Verschlüsselungsdauer des Schlüssels identisch.
Bezüglich Lebenszyklusänderungen überwachen
Nachdem Sie einen Schlüssel zum Service hinzugefügt haben, verwenden Sie das Key Protect -Dashboard oder die Key Protect REST-APIs, um das letzte Mal anzuzeigen, dass der Schlüssel in den Status 'transitioned' gestellt wurde.
Zu Prüfungszwecken können Sie auch den Aktivitätspfad für einen Schlüssel überwachen, indem Sie Key Protect mit IBM Cloud Logs. Nachdem beide Dienste eingerichtet sind und laufen, werden Ereignisse generiert und automatisch in einem IBM Cloud Logs-Protokoll gesammelt, wenn Sie Aktionen für Schlüssel in Key Protect durchführen.