Monitoraggio del ciclo di vita delle chiavi di crittografia
IBM® Key Protect for IBM Cloud® segue le linee guida di sicurezza stabilite per NIST SP 800-57 per gli stati chiave.
Transizioni e stati della chiave
Le chiavi crittografiche passano spesso attraverso diversi stati che sono una funzione di quanto tempo le chiavi sono state in esistenza e se attualmente vengono utilizzate per cifrare i dati.
Key Protect fornisce un'interfaccia utente grafica e un'API REST per il tracciamento delle chiavi quando si muovono tra gli stati nel loro ciclo di vita. Il seguente diagramma mostra come le chiavi passano attraverso gli stati tra la loro generazione e distruzione.
Anche se questo diagramma mostra chiavi in uno stato "pre - attivazione", uno stato definito nelle norme NIST, da un punto di vista tecnico, "pre - attivo" definisce uno stato prima che una chiave esista. Le chiavi che ancora non esistono non possono, ovviamente, avere uno stato. Ciononostante, viene mostrato qui per completezza concettuale. Lo stato "purgato" di una chiave, in cui il materiale chiave è stato definitivamente frantumato un certo periodo di tempo dopo che la chiave è stata spostata in uno stato Distrutto , non viene mostrato in questo diagramma ed è similmente uno stato di nonesistenza.
| Stato | Mappatura intero | Descrizione |
|---|---|---|
| Attivo | 1 | Le chiavi passano immediatamente allo stato Attivo alla data di attivazione. Questa transizione contrassegna l'inizio del periodo di crittografia di una chiave. Le chiavi senza data di attivazione diventano immediatamente attive e lo rimangono finché non scadono o vengono distrutte. |
| Sospeso | 2 | Una chiave si sposta nello stato Sospesi quando è disabilitata per le operazioni di crittografia e decodifica. In questo stato, la chiave non è in grado di proteggere crittograficamente i dati e può essere spostata solo negli stati Attivo o Distrutto. |
| Disattivato | 3 | Una chiave passa allo stato Disattivato entro un'ora dalla data di scadenza, se è stata assegnata. In questo stato, le uniche azioni che possono essere eseguite sul tasto sono unwrap, riavvolgere, ruotare ed eliminare. |
| Distrutta | 5 | I tasti vengono spostati nello stato Distrutto dopo essere stati cancellati. Le chiavi in questo stato possono essere recuperate per 30 giorni ma diventano eleggibili dopo 90 giorni. Possono anche essere purgati quattro ore dopo essere stati spostati nello stato Distrutto , se necessario. Dopo essere stato spostato in uno stato Distrutto , i metadati associati ad una chiave, come il suo nome e un record di quando è passato per l'ultima volta, sono conservati nel database Key Protect fino a quando la chiave non viene purgata. Per ulteriori informazioni, verificare Informazioni sull'eliminazione e la cancellazione dei tasti. |
Fare attenzione quando si imposta una data di scadenza, poiché le chiavi create con una data di scadenza passano automaticamente allo stato Disattivato entro un'ora dalla scadenza. In questo stato, le uniche azioni consentite sul tasto sono scartare, riavvolgere, ruotare e cancellare. Le chiavi disattivate non possono essere utilizzate per criptare (avvolgere) nuovi dati, anche se ruotate durante la disattivazione. La rotazione non azzera o prolunga la data di scadenza, né consente di modificarla. Si consiglia di criptare nuovamente i dati crittografati con una chiave in scadenza o scaduta, utilizzando una nuova customer root key (CRK) prima della scadenza della CRK originale, per evitare interruzioni del servizio. L'eliminazione e il ripristino di una chiave disattivata non la riporta allo stato Attivo. Se l'attributo expiration_date è omesso, la chiave non scade.
È possibile monitorare l'utilizzo delle chiavi con data di scadenza usando IBM Cloud Logs. I log indicano la data di scadenza e il numero di giorni rimanenti utilizzando le proprietà JSON responseData.expirationDate e responseData.daysToKeyExpire per le chiavi che hanno una data di scadenza e per i seguenti valori action : kms.secrets.wrap, kms.secrets.unwrap, kms.secrets.rewrap, kms.secrets.read,
kms.secrets.readmetadata, kms.secrets.create, kms.secrets-with-policy-overrides.create e kms.secrets.expire. Inoltre, una chiamata REST a GET /api/v2/keys restituisce la proprietà
expirationDate per ogni chiave che ha una data di scadenza.
Stati chiave e azioni di servizio
Gli stati chiave influenzano se un'azione eseguita su una chiave riesce o fallisce. Ad esempio, se una chiave è nello stato Active , non è possibile ripristinare la chiave, perché la chiave non era stata precedentemente cancellata.
La seguente tabella descrive come gli stati chiave influenzano le azioni di servizio. Le intestazioni delle colonne rappresentano gli stati chiave e le intestazioni di riga rappresentano le azioni che si possono eseguire su una chiave. L'icona
del segno di spunta (
indica che l'azione su una chiave è prevista per riuscire in base allo stato chiave.
| Azione | Attivo | Sospesi (chiavi disabili) | Disattivato (chiavi scadute) | Distrutti (chiavi cancellate) |
|---|---|---|---|---|
| Richiama chiave | |
|
|
|
| Elenca chiavi | |
|
|
|
| Ruota chiave | |
|
||
| Wrapping della chiave | |
|||
| Annullamento wrapping della chiave | |
|
||
| Chiave di riavvolgere | |
|
||
| Disabilita chiave | |
|||
| Abilita chiave | |
|||
| Elimina chiave | |
|
|
|
| Ripristina chiave | |
Criptoperiodi, periodi di utilizzo dell'originator e periodi di utilizzo del destinatario
Se hai familiarità con i termini standard NIST e i sistemi di gestione delle chiavi, probabilmente sei a conoscenza dei concetti di un "periodo di crittografia", un "periodo di utilizzo del mittente" e un "periodo di utilizzo del destinatario".
Un "crittoperiodo" descrive il ciclo di vita completo di una chiave. Se una chiave viene eliminata un anno dopo la sua creazione, il periodo di crittografia della chiave è stato di un anno. Il criptoperiodo di una chiave, quindi, inizia quando viene creato.
Analogamente, anche il "periodo di utilizzo dell'originator" e il "periodo di utilizzo dei ricevitori" iniziano anche quando viene creata una chiave. L'ex descrive il tempo in cui una chiave può essere utilizzata per proteggere i dati confezionandolo. Il "periodo di utilizzo dei ricevitori", invece, descrive il tempo in cui una chiave può essere "non avvolta" per decodificare i dati protetti. Ricordiamo che i tasti disattivati non possono più essere utilizzati per avvolgere i dati, ma ancora possono essere utilizzati per non avvolgere i dati. Pertanto, se un tasto viene spostato nello stato Deattivato (ad esempio, stabilendo una data di scadenza), è terminato il periodo di utilizzo del originator. Tuttavia, il suo periodo di utilizzo dei ricevitori continuerà fino a quando la chiave verrà cancellata.
Se nessuna data di scadenza è impostata su una chiave (e non viene sospesa manualmente, disattivata o distrutta), il periodo di utilizzo dell'originator, il periodo di utilizzo del destinatario e il criptoperiodo della chiave sono gli stessi.
Monitoraggio delle modifiche del ciclo di vita
Dopo aver aggiunto una chiave al servizio, utilizzare la dashboard Key Protect o la dashboard Key Protect REST per visualizzare l'ultima volta che la chiave è stata transitata.
A scopo di verifica, è possibile anche monitorare la traccia delle attività di una chiave integrando Key Protect con IBM Cloud Logs. Dopo che entrambi i servizi sono stati forniti e sono in funzione, gli eventi vengono generati e raccolti automaticamente in un registro IBM Cloud Logs quando si eseguono azioni sulle chiavi in Key Protect.