Klíč bez rotace = kompromitovaný klíč platí navždy. Pravidelná rotace omezuje dopad případného úniku.
Proč rotovat¶
- Omezení exposure time při kompromitaci
- Compliance požadavek (PCI DSS: ročně)
- Snížení množství dat šifrovaných jedním klíčem
- Odchod zaměstnanců s přístupem
AWS KMS automatická rotace¶
Terraform¶
resource “aws_kms_key” “main” { enable_key_rotation = true # Rotace každý rok }
Ruční rotace¶
aws kms create-key –description “new-key”
Re-encrypt data s novým klíčem¶
Envelope encryption¶
Data šifrována Data Encryption Key (DEK). DEK šifrován Key Encryption Key (KEK) v KMS. Rotujete KEK — re-wrap DEK, ne re-encrypt všech dat.
Key Takeaway¶
Automatická rotace přes KMS. Envelope encryption pro efektivní rotaci. Mějte grace period pro staré klíče.
securitykey rotationkmsencryption