Rotación de claves de cifrado: ¿cómo funciona?

Navega tus respuestas
0

No he encontrado un duplicado que explique con suficiente claridad cómo funciona el proceso de rotación de las claves de cifrado en términos simples y sencillos.

Sé cómo funciona la criptografía de clave pública / privada, cómo funciona la criptografía simétrica pero no puedo entender cómo funciona rotar una clave privada .

¿Descifro todo el contenido cifrado, genero una nueva clave privada y luego vuelvo a cifrar todo? ¿O tal vez genere una nueva clave privada y descifre y cifre con la nueva clave solo una parte de los datos, por lo que ahora necesito dos claves (la nueva y la antigua) para descifrar el conjunto?

    
pregunta user3834459 24.11.2018 - 14:35
fuente

2 respuestas

2

En términos sencillos, rotar una clave de cifrado implica:

  1. Generar nueva (s) clave (s)
  2. Vuelva a cifrar todos los datos que se cifraron con la clave antigua, usando la (s) clave (s) nueva (s)
  3. Eliminar datos cifrados antiguos y claves cifradas antiguas

La rotación de claves generalmente se aplica a los datos cifrados en reposo, a diferencia de algo como TLS, porque refleja la necesidad de lidiar con todo lo antiguo que aún está cifrado con la clave antigua.

    
respondido por el gowenfawr 24.11.2018 - 20:42
fuente
2

El significado de rotar dependerá de la política de seguridad del propietario de los datos.

Puede ayudar a comprender cómo se administran las claves con frecuencia mediante un gráfico de estado del ciclo de vida de las claves. Un ciclo de vida clave típico es el siguiente:

  1. Generado (nuevo, no se utilizará todavía)
  2. Activo (cifrar / descifrar)
  3. Inactivo (solo descifrar)
  4. Retirado (clave destruida irrevocablemente)

Además, se pueden definir estados para claves que son "sospechosas", "perdidas" y / o "comprometidas".

Las reglas se definen con respecto a cómo y cuándo una clave pasará de un estado a otro, qué transiciones son legales y cuándo. También verás una regla de que si se compromete una clave, será necesario volver a cifrar todos los datos con una nueva clave (entre muchas otras tareas de recuperación de desastres).

En algunas organizaciones, una rotación de clave requerirá que una clave girada se cambie a un estado inactivo, y será necesario generar una nueva versión de la clave para cifrar nuevos datos. Cuando la nueva clave se activa, la antigua clave se desactiva. Los datos antiguos permanecen cifrados con su misma clave antigua hasta que la clave se retira, y luego se destruye la clave antigua. De esta manera, los datos antiguos no tienen que ser descifrados y luego re-cifrados con la nueva clave. La aplicación que consume los datos debe utilizar la misma versión de la clave que se utilizó cuando se cifraron los datos.

Otras organizaciones pueden no tener un estado inactivo, y una rotación de clave requerirá que se retire la clave antigua y que todos los datos previamente encriptados se vuelvan a cifrar.

    
respondido por el John Deters 24.11.2018 - 23:46
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los problemas de seguridad de los archivos JSON codificados en base64? [cerrado] ¿Qué es el sistema de contraseñas bizantinas?