Monitorando o ciclo de vida de chaves de criptografia
IBM® Key Protect for IBM Cloud® segue as diretrizes de segurança estabelecidas pelo NIST SP 800-57 para estados-chave.
Estados e transições de chave
As chaves criptográficas muitas vezes passam por vários estados que são uma função de há quanto tempo as chaves existem e se atualmente estão sendo usadas para criptografar dados.
O Key Protect fornece uma interface gráfica com o usuário e uma API de REST para rastrear as chaves à medida que elas passam por vários estados em seus ciclos de vida. O diagrama a seguir mostra como uma chave passa pelos estados entre sua geração e sua destruição.
Embora este diagrama mostre chaves em um estado de "pré-ativação", um estado definido em padrões NIST, do ponto de vista técnico, "pré-ativo" define um estado antes de uma chave existir. Obviamente, as chaves que ainda não existem não podem ter um estado. No entanto, ele é mostrado aqui para a integridade conceitual. O estado "purged", em que o material da chave é permanentemente fragmentado um certo tempo depois que a chave passa para o estado Destroyed, não é mostrado neste diagrama e é semelhante a um estado de inexistência.
| Estado | Mapeamento de número inteiro | Descrição |
|---|---|---|
| Ativo | 1 | As chaves se movem imediatamente para o estado Ativo na data de ativação. Essa transação marca o início do período de criptografia de uma chave. As chaves sem data de ativação se tornam ativas imediatamente e permanecem ativas até que expirem ou sejam destruídas. |
| Suspenso | 2 | Uma chave é movida para o estado Suspenso quando ela é desativada para operações de criptografia e decriptografia. Nesse estado a chave é incapaz de oferecer proteção de criptografia para os dados e pode ser movida apenas para os estados Active ou Destroyed. |
| Desativado | 3 | Uma chave passa para o estado Deactivated dentro de uma hora após sua data de expiração, caso haja uma. Nesse estado, as únicas ações que podem ser executadas na chave são desagrupar, reagrupar, girar e excluir. |
| Destruído | 5 | As chaves são movidas para o estado Destroyed depois de excluídas. As chaves neste estado podem ser recuperadas por 30 dias, mas tornam-se elegíveis para serem limpas após 90 dias. Se necessário, elas também podem ser limpas quatro horas depois de passarem para o estado Destroyed. Após a mudança para um estado Destroyed, os metadados associados a uma chave, como nome e o registro de sua última transição, são mantidos no banco de dados do Key Protect até a limpeza da chave. Para obter mais informações, confira Sobre como excluir e limpar chaves. |
Tenha cuidado ao definir uma data de expiração, pois as chaves criadas com uma data de expiração passam automaticamente para o estado Desativado em uma hora após a expiração. Nesse estado, as únicas ações permitidas na chave são desembrulhar, desembrulhar novamente, girar e excluir. As chaves desativadas não podem ser usadas para criptografar (envolver) novos dados, mesmo que tenham sido giradas enquanto desativadas. A rotação não redefine ou estende a data de vencimento, nem permite que a data seja alterada. Recomenda-se que todos os dados criptografados com uma chave expirada ou vencida sejam criptografados novamente usando uma nova chave raiz do cliente (CRK) antes que a CRK original expire, para evitar interrupções no serviço. A exclusão e a restauração de uma chave desativada não a movem de volta ao estado Ativo. Se o atributo expiration_date for omitido, a chave não expirará.
Você pode monitorar o uso de chaves com datas de expiração usando IBM Cloud Logs. Os registros indicam a data de expiração e o número de dias restantes usando as propriedades JSON responseData.expirationDate e responseData.daysToKeyExpire para chaves que têm data de expiração e para os seguintes valores action : kms.secrets.wrap, kms.secrets.unwrap, kms.secrets.rewrap, kms.secrets.read,
kms.secrets.readmetadata, kms.secrets.create, kms.secrets-with-policy-overrides.create e kms.secrets.expire. Além disso, uma chamada REST bem-sucedida para GET /api/v2/keys retorna
a propriedade expirationDate para cada chave que tem uma data de validade.
Estados de chave e ações de serviço
Uma ação executada em uma chave terá sucesso ou falha dependendo dos estados da chave. Por exemplo, uma chave que se encontra no estado Active não pode ser restaurada, pois não foi excluída anteriormente.
A tabela a seguir descreve como os estados de chave afetam as ações de serviço. Os cabeçalhos da coluna representam os estados de chave e os cabeçalhos da linha representam as ações que podem ser executadas em uma chave. O ícone de visto (
indica que a ação deve ser bem-sucedida, com base no estado da chave.
| Ação | Ativo | Suspenso (chaves desativadas) | Desativado (chaves expiradas) | Destruído (chaves excluídas) |
|---|---|---|---|---|
| Obter chave | |
|
|
|
| Listar chaves | |
|
|
|
| Girar chave | |
|
||
| Agrupar chave | |
|||
| Desagrupar chave | |
|
||
| Reagrupar chave | |
|
||
| Desativar chave | |
|||
| Ativar chave | |
|||
| Tecla excluir | |
|
|
|
| Restaurar chave | |
Períodos criptográficos, períodos de uso do originador e períodos de uso do destinatário
Se você está familiarizado com os termos padrão do NIST e com os sistemas de gerenciamento de chaves, provavelmente conhece os conceitos de "período criptográfico", "período de uso do originador" e "período de uso do receptor".
Um "período criptográfico" descreve o ciclo de vida completo de uma chave. Se uma chave for eliminada um ano após sua criação, o período de criptografia da chave será de um ano. Portanto, o período criptográfico de uma chave começa quando ela é criada.
Da mesma forma, o "período de uso do originador" e o "período de uso do destinatório" também começam quando uma chave é criada. O anterior descreve o tempo em que uma chave pode ser usada para proteger dados, agrupando-os. Por outro lado, o "período de uso do destinatário" descreve o tempo em que uma chave pode ser "desagrupada" para decriptografar dados protegidos. Lembre-se de que as chaves desativadas não podem mais ser usadas para agrupar dados, mas ainda podem ser usadas para desagrupar dados. Portando, caso uma chave seja movida para o estado Deactivated (por exemplo, pelo estabelecimento de uma data de expiração), o período de uso de seu originador terminou. No entanto, o período de uso do destinatário continuará até que a chave seja excluída.
Se nenhuma data de expiração estiver configurada em uma chave (e se ela não tiver sido suspensa, desativada ou destruída manualmente), o período de uso do originador, o período de uso do destinatário e o período criptográfico da chave serão os mesmos.
Monitorando as mudanças de ciclo de vida
Depois de incluir uma chave no serviço, use o painel do Key Protect ou as APIs de REST do Key Protect para visualizar a última vez em que foi feita a transição da chave.
Para fins de auditoria, você também pode monitorar a trilha de atividade de uma chave integrando o Key Protect com o IBM Cloud Logs. Depois que ambos os serviços são provisionados e executados, os eventos são gerados e coletados automaticamente em um registro IBM Cloud Logs quando você executa ações nas chaves em Key Protect.