KMS提供密钥轮转功能实现密钥版本化,从而加强密钥使用的安全性,有效提升业务数据加密的安全性。本文为您介绍如何配置对称密钥和非对称密钥的轮转。
密钥轮转的必要性
- 密码合规要求
相关行业标准中明确规范,要求密钥进行周期性轮转。
- 减少每个密钥版本加密的数据量,降低密码分析攻击风险
一个密钥的安全性与被它加密的数据量呈反相关。数据量通常是指同一个密钥加密的数据总字节数。通过定期轮转密钥,可使每个密钥具有更小的密码分析攻击面,使加密方案整体具有更高的安全性。
- 减少密钥破解的时间窗口
如果在定期轮转密钥的基础上,将旧密钥加密的密文数据用新密钥重新加密,则轮转周期即为一个密钥的破解时间窗口。这意味着恶意者只有在两次轮转事件之间完成破解,才能拿到数据。
密钥版本概述
KMS中的用户CMK支持多个密钥版本。每一个密钥版本是一个独立生成的密钥,同一个CMK下的多个密钥版本在密码学上互不相关。
对称密钥版本
密钥版本可通过自动轮转策略,由系统自动生成,对称密钥的版本分为主版本和非主版本。
- 一个对称密钥版本包含一个主版本和多个非主版本。密钥创建后KMS会生成初始密钥版本并将其设置为主版本,轮转后会生成一个新的密钥版本,并将新的密钥版本设置为主版本,原版本设置为非主版本;
- 在调用对称密钥进行加解密操作时,KMS默认使用主版本实现;
- 密钥轮转产生新的主版本后,KMS不会删除或禁用非主版本,它们需要被用作解密数据。
非对称密钥版本
非对称密钥不支持自动轮转,需人工创建新的密钥版本,版本创建后立即生效。
- 非对称的用于主密钥没有主版本(PrimaryKeyVersion)的概念,因此使用非对称密码运算的接口除需指定用户主密钥标志符(或别名)之外,还需指定密钥版本。
操作步骤
设置自动轮转(对称密钥)
- 登录密钥管理服务控制台。
- 在页面最上方的导航栏的资源池下拉列表,选择密钥所在的区域;
- 在左侧导航栏,单击密钥管理服务,进入密钥列表;
- 定位待设置的对称密钥,点击密钥ID,进入密钥详情页;
- 在密钥版本区域,点击设置轮转策略;
- 在设置轮转策略对话框,选择轮转周期,30天、90天、180天,或自定义天数;
- 设置了自动轮转策略后,将显示密钥下次轮转时间。点击确定完成设置;
创建密钥版本(非对称密钥)
- 登录密钥管理服务控制台;
- 在页面最上方的导航栏的资源池下拉列表,选择密钥所在的区域;
- 在左侧导航栏,单击密钥管理服务,进入密钥列表;
- 定位待设置的非对称密钥,点击密钥ID,进入密钥详情页;
- 在密钥版本区域,点击创建密钥版本;
- 在弹出的对话框内,点击确定;
- 在密钥版本列表,可查看密钥版本ID、创建日期。点击查看公钥,在弹出的对话框,可复制或下载公钥。
