Supervisión del ciclo de vida de las claves de cifrado
IBM® Key Protect for IBM Cloud® sigue las directrices de seguridad establecidas por NIST SP 800-57 para los estados clave.
Estados y transiciones de clave
Las claves criptográficas a menudo pasan por varios estados que son una función de cuánto tiempo han existido las claves y si se están utilizando actualmente para cifrar datos.
Key Protect proporciona una interfaz gráfica de usuario y una API REST para realizar el seguimiento de las claves a medida que pasan por varios estados durante su ciclo de vida. En el siguiente diagrama se muestra cómo una clave pasa por los distintos estados desde que se crea hasta que se destruye.
Aunque este diagrama muestra claves en un estado "previo a la activación", un estado definido en los estándares NIST, desde un punto de vista técnico, "pre-activo" define un estado antes de que exista una clave. Obviamente, las claves que aún no existen no pueden tener un estado. Sin embargo, aquí se muestra para completar el concepto. El estado "depurado" de una clave, en que el material de clave ha sido destruido permanentemente un tiempo después de que la clave haya pasado a estado Destruido, no aparece en este diagrama y es igualmente un estado de no existencia.
Estado | Correlación de enteros | Descripción |
---|---|---|
Activo | 1 | Las claves pasan inmediatamente al estado Activo en la fecha de activación. Esta transición marca el inicio del periodo criptográfico propiamente dicho de una clave. Las claves sin fecha de activación se activan inmediatamente y permanecen activas hasta que caducan o se destruyen. |
Suspendido | 2 | Una clave pasa a estado Suspendido cuando es inhabilitada para operaciones de cifrado y descifrado. En este estado, la clave no puede proteger criptográficamente los datos y sólo puede pasar a los estados Activo o Destruido. |
Desactivado | 3 | Una clave pasa a estado Desactivado dentro de una hora después de su fecha de caducidad, si se le ha asignado alguna. En este estado, las únicas acciones que se pueden realizar en la clave son desenvolver, volver a envolver, rotar y suprimir. |
Destruido | 5 | Las claves pasan a estado Destruido después de ser suprimidas. Las claves en este estado se pueden recuperar durante 30 días, pero pueden ser elegibles para ser depuradas después de 90 días. También se pueden purgar cuatro horas después de haberlas pasado a estado Destruido, si es necesario. Después de pasar a estado Destruido, los metadatos asociados a una clave, como por ejemplo su nombre y un registro de cuando ha pasado por la última transición, se conservan en la base de datos de Key Protect hasta que se depura la clave. Para obtener más información, consulte Acerca de la supresión y depuración de claves. |
Tenga cuidado al establecer una fecha de caducidad, ya que las claves creadas con una fecha de caducidad pasan automáticamente al estado Desactivado una hora después de su caducidad. En este estado, las únicas acciones permitidas sobre la tecla son desenvolver, reenvolver, rotar y borrar. Las claves desactivadas no se pueden utilizar para cifrar (envolver) nuevos datos, incluso si se rotan mientras están desactivadas. La rotación no restablece ni amplía la fecha de caducidad, ni permite cambiar la fecha. Se recomienda que cualquier dato cifrado con una clave que caduque o haya caducado se vuelva a cifrar utilizando una nueva clave raíz de cliente (CRK) antes de que caduque la CRK original, para evitar interrupciones del servicio. Borrar y restaurar una llave desactivada no la devuelve al estado Activo. Si se omite el atributo expiration_date, la clave no caduca.
Puede supervisar el uso de claves con fecha de caducidad utilizando IBM Cloud Logs. Los registros indican la fecha de caducidad y el número de días restantes utilizando las propiedades JSON responseData.expirationDate
y responseData.daysToKeyExpire
para las claves que tienen fecha de caducidad y para los siguientes valores action
: kms.secrets.wrap
, kms.secrets.unwrap
, kms.secrets.rewrap
,
kms.secrets.read
, kms.secrets.readmetadata
, kms.secrets.create
, kms.secrets-with-policy-overrides.create
y kms.secrets.expire
. Además, una llamada REST correcta a GET /api/v2/keys
devuelve la propiedad expirationDate
para cada clave que tenga fecha de caducidad.
Estados de clave y acciones de servicio
Los estados de clave afectan a si una acción que se realiza en una clave tiene éxito o falla. Por ejemplo, si una clave está en estado Activo, no se puede restaurar, porque no se ha suprimido antes.
En la tabla siguiente se describe cómo los estados clave afectan a las acciones de servicio. Las cabeceras de columna representan los estados de clave, y las cabeceras de fila representan las acciones que puede realizar en una clave. El icono
de marca de selección ( indica que se espera que la acción en una clave tenga éxito según el estado de la clave.
Acción | Activo | Suspendido (claves inhabilitadas) | Desactivado (claves caducadas) | Destruido (claves suprimidas) |
---|---|---|---|---|
Obtener clave | ||||
Listar claves | ||||
Rotar clave | ||||
Encapsular clave | ||||
Desencapsular clave | ||||
Reencapsular clave | ||||
Inhabilitar clave | ||||
Habilitar clave | ||||
Suprimir clave | ||||
Restaurar clave |
Periodos de cifrado, periodos de uso del originador y periodos de uso del destinatario
Si está familiarizado con los términos estándar del NIST y los sistemas de gestión de claves, probablemente conozca los conceptos de "criptoperiodo", "periodo de uso por el originador" y "periodo de uso por el receptor".
Un "periodo de cifrado" describe el ciclo de vida completo de una clave. Si una clave se purga un año después de su creación, el criptoperiodo de la clave era de un año. El periodo de cifrado de una clave, entonces, comienza cuando se crea.
Del mismo modo, el "periodo de uso del originador" y el "periodo de uso del destinatario" también comienzan cuando se crea una clave. La primera describe el momento en el que se puede utilizar una clave para proteger los datos envolviéndola. Por otra parte, el "período de uso del destinatario" describe el momento en que una clave puede ser "desenvuelta" para descifrar los datos protegidos. Recuerde que las claves desactivadas ya no se pueden utilizar para envolver datos, pero todavía se pueden utilizar para desenvolverlos. Por lo tanto, si una clave pasa al estado Desactivado (por ejemplo, al establecer una fecha de caducidad), el periodo de uso del originador ha finalizado. Sin embargo, su periodo de uso del destinatario continuará hasta que se suprima la clave.
Si no se establece ninguna fecha de caducidad en una clave (y no se suspende, desactiva o destruye manualmente), el periodo de uso del originador, el periodo de uso del destinatario y el periodo de cifrado de la clave son los mismos.
Supervisión de cambios en el ciclo de vida
Después de añadir una clave al servicio, utilice el panel de control de Key Protect o las API REST Key Protect para ver la última vez que se ha realizado una transición de la clave.
Con fines de auditoría, también puede supervisar el rastro de actividad de una clave integrando Key Protect con IBM Cloud Logs. Una vez que ambos servicios se han aprovisionado y están en funcionamiento, se generan eventos que se recogen automáticamente en un registro de IBM Cloud Logs cuando se realizan acciones sobre claves en Key Protect.