Rotation de vos clés racine

Une bonne pratique consiste à effectuer régulièrement une rotation de vos clés racine (c'est-à-dire de créer une nouvelle version de la clé). Des rotations régulières réduisent ce que l'on appelle la « cryptopériode » de la clé, et peuvent également être utilisées dans des cas spécifiques tels que la rotation du personnel, les dysfonctionnements de processus ou la détection d'un problème de sécurité.

Si vous pensez qu'une clé a été compromise, désactivez-la dès que possible. Pour plus d'informations, voir Désactivation des clés racine.

Rappelez-vous que les clés racine ne sont pas simplement utilisées pour créer des clés de chiffrement de données (DEK), elles sont également utilisées conjointement avec une clé principale (sécurisée par IBM à l'aide d'un module de sécurité matérielle) pour créer un « encapsulage » d'une clé DEK. La « clé de chiffrement de données encapsulée » (WDEK) obtenue protège la clé DEK, qui est utilisée pour chiffrer les données. Si un utilisateur dispose d'une clé DEK qu'il souhaite utiliser, cette clé peut être transmise lors de la création d'une clé WDEK à l'aide de l'appel wrap. Si aucune clé DEK n'est indiquée, Key Protect en crée une pour vous.

La rotation vers une nouvelle version de la clé racine ne crée pas immédiatement de nouvelle clé WDEK, mais cela signifie que lors du prochain encapsulage ou réencapsulage initiée par l'utilisateur, la nouvelle clé racine sera utilisée pour créer la nouvelle clé WDEK. Notez que la nouvelle clé WDEK peut également être désencapsulée et utilisée pour lire les données chiffrées avec les anciennes versions de la clé DEK, et que les anciennes versions de la clé WDEK peuvent toujours être désencapsulées pour obtenir la clé DEK.

Chaque rotation crée une nouvelle "version" de la clé et vous êtes facturé sur votre compte IBM Cloud par version de clé. Pour plus d'informations, voir Tarification.

Rotation manuelle ou automatique

Seules les clés racine peuvent faire l'objet d'une rotation à l'aide de Key Protect. Les clés standard ne peuvent pas faire l'objet d'une rotation.

Les clés racine peuvent faire l'objet d'une rotation manuelle ou selon un planning défini par le propriétaire de la clé. L' option que vous choisissez dépend de vos préférences et des besoins de votre cas d'utilisation.

Mise en place d'une politique de rotation
L'option de rotation de clés la plus simple, la définition d'un intervalle de rotation automatique, signifie que les clés racine sont mises à jour sans autre effort de l'utilisateur. Ces rotations peuvent être définies à des intervalles de 30 jours (c'est-à-dire tous les 30, 60 ou 90 jours, jusqu'à 12 mois, ou 720 jours). Cette règle peut être gérée dans l'interface utilisateur ou à l'aide de l'API Key Protect. Pour plus d'informations sur la définition d'une règle de rotation, voir Définition d'une politique de rotation. Le processus peut également être défini à l'aide de l'interface de ligne de commande.

Pour procéder à la rotation d'une clé initialement importée dans le service, vous devez générer et fournir un nouveau matériel de clé pour la clé à chaque rotation. Par conséquent, les règles de rotation automatique ne sont pas disponibles pour les clés qui ont importé du matériel de clé. Les clés racine importées doivent donc faire l'objet d'une rotation manuelle. Notez que les métadonnées des clés importées, telles que l'ID de clé, ne changent pas lorsque la clé fait l'objet d'une rotation, tout comme avec une clé générée avec Key Protect.
Rotation manuelle des touches
En tant qu'administrateur de la sécurité, vous pouvez avoir plus de contrôle sur la fréquence de rotation de vos clés racine. Si vous ne souhaitez pas définir une règle de rotation automatique pour une clé, vous pouvez créer une nouvelle clé manuellement pour remplacer une clé existante, puis mettre à jour vos applications pour qu'elles fassent référence à la nouvelle clé.

Pour simplifier ce processus, vous pouvez utiliser Key Protect pour effectuer la rotation de la clé racine à tout moment. Dans ce scénario, Key Protect crée et remplace la clé à votre place à chaque demande de rotation. Les métadonnées et l'ID clé de la clé ne changeront pas. Pour plus d'informations sur la rotation manuelle d'une clé, voir Rotation manuelle des clés.

La rotation manuelle d'une clé racine ne perturbe aucune règle de rotation pouvant exister actuellement pour la clé. Par conséquent, une bonne option consiste à définir une règle de rotation régulière, puis à mettre à jour manuellement les clés plus souvent si nécessaire.

A quelle fréquence les clés doivent-elles faire l'objet d'une rotation ?

Une fois que vous avez généré une clé racine dans Key Protect, vous choisissez sa fréquence de rotation. La meilleure pratique consiste à effectuer une rotation régulière de vos clés.

Options de fréquence de rotation pour les touches rotatives dans Key Protect
Type de rotation	Fréquence	Description
Rotation des clés basée sur des politiques	Intervalles de 30 jours (en d'autres termes, tous les 30, 60 ou 90 jours, etc.)	Choisissez un intervalle de rotation entre un et 12 mois pour votre clé racine en fonction de vos besoins en matière de sécurité. Une fois que vous avez défini une règle de rotation pour une clé racine, l'horloge démarre immédiatement en fonction de la date de création initiale de la clé. Si vous choisissez à tout moment de faire pivoter manuellement cette clé, la période de rotation se réinitialise en fonction de cette rotation.
Rotation manuelle des clés	Jusqu'à une rotation par heure	Key Protect ne permet pas plus d'une rotation par heure pour chaque clé.

Il est possible de connaître la date de la dernière rotation d'une clé à l'aide de la zone lastRotateDate disponible dans les API telles que getkey, getkeymetadataet getkeys.

Fonctionnement de la rotation des clés

Lors d'une rotation de clé racine, la clé reste à l'état actif. Cependant, les versions plus anciennes sont désactivées et peuvent être considérées comme « retirées ». Cette dernière version de la clé racine sera alors utilisée pour toutes les actions futures. Alors que les désencapsulages peuvent toujours être effectués avec des clés WDEK qui ont été générés avec une ancienne version de la clé racine, les encapsulages et réencapsulages utilisent la dernière version de la clé racine. Notez qu'une version de clé précédente ne peut être utilisée que pour désencapsuler et accéder aux données chiffrées à l'aide de cette version de clé particulière ou inférieure. Une ancienne version d'une clé racine ne peut pas être utilisée pour créer une nouvelle clé DEK ou pour encapsuler la clé DEK et créer une clé WDEK. Pour plus d'informations, voir Gestion des versions de clé retirées.

Pour plus d'informations sur le fonctionnement de la rotation de clés, voir Présentation du processus de rotation des clés.

Pour activer des options de rotation de clés pour votre service de données IBM Cloud, le service de données doit être intégré à Key Protect. Reportez-vous à la documentation de votre service de données IBM Cloud ou consultez notre liste des services intégrés pour en savoir plus.

Surveillance des rotations de clés

Après avoir effectuer une rotation d'une clé racine, Key Protect avertit les services de données IBM Cloud qui utilisent la clé pour protéger vos données. Cette notification déclenche des actions dans ces services afin de réencapsuler les clés de chiffrement de données associées de la clé avec la dernière version de clé.

Une fois que Key Protect a reçu la confirmation de ces services que toutes les clés DEK associées sont réencapsulées, vous recevez un événement dans votre interface utilisateur IBM Cloud Logs pour indiquer que la rotation est terminée.

Gestion des versions de clé retirées

Key Protect crée une nouvelle version de la clé racine à chaque demande de rotation. Le service retire les anciennes versions de clés et les conserve jusqu'à ce que la clé soit supprimée. Les versions de clé retirées ne peuvent plus être utilisées pour encapsuler des clés, mais elles restent disponibles pour les opérations de désencapsulage.

Si Key Protect détecte que vous utilisez une version de clé racine retirée pour désencapsuler les clés DEK, le service fournit une clé DEK nouvellement encapsulée qui est basée sur la dernière version de clé.

Réencapsulage des données après la rotation d'une clé

Les versions de clés retirées ne pouvant être utilisées que pour accéder aux anciennes clés DEK, pour sécuriser votre flux de travail de chiffrement d'enveloppes, réencapsulez vos clés DEK après avoir procédé à une rotation d'une clé afin que vos données au repos soient protégées par la clé la plus récente.

Sinon, si Key Protect détecte que vous utilisez une version de clé retirée pour désencapsuler une clé DEK, le service rechiffre automatiquement la clé DEK et renvoie une clé de chiffrement de données encapsulée (WDEK) basée sur la dernière clé racine.

Stockez et utilisez la nouvelle clé WDEK pour les opérations de désencapsulage ultérieures de sorte que les clés DEK soient protégés avec la version de clé la plus récente.

Pour savoir comment utiliser l'API Key Protect pour réencapsuler des clés de chiffrement de données, reportez-vous à la rubrique Réencapsulage des clés.

Présentation du processus de rotation des clés

En arrière-plan, l'API Key Protect exécute le processus de rotation des clés. Pour savoir comment utiliser l'API Key Protect pour effectuer une rotation de vos clés, voir Rotation des clés.

Le diagramme suivant présente une vue contextuelle de la rotation des clés.

Le diagramme montre une vue contextuelle de la rotation clé. — Contextual view of key rotation.

A chaque demande de rotation, Key Protect crée une nouvelle version de clé racine en associant un nouveau matériel de clé à votre clé.

Le diagramme montre une vue micro de la pile de clés. — Micro view of a key stack.

La rotation des clés ne s'effectue pas à la même heure du jour de création de la clé. Si la rotation d'une clé a eu lieu à 8 heures du matin, la rotation n'aura pas nécessairement lieu à 8 h le jour de la date prévue de la rotation. Au lieu de cela, la rotation peut se produire à n'importe quel moment au cours d'une fenêtre de 24 heures.

Etapes suivantes

Pour plus d'informations sur l'utilisation de Key Protect pour définir une règle de rotation automatique pour une clé racine individuelle, voir Définition d'une politique de rotation.
Pour plus d'informations sur la rotation manuelle des clés racine, voir Rotation manuelle des clés.
Pour plus d'informations sur l'affichage des versions de clé disponibles pour une clé racine, voir Affichage des versions de clé.