キーは特定のデータを保護するために使用されます。 したがって、データのセキュリティは、その鍵のセキュリティに依存する。 キーバージョン間でキーを定期的にローテーションして、キーのセキュリティを向上させ、セキュリティポリシーとデータ保護のベストプラクティスを実装できます。
セキュリティ目標の達成
- 各キーに基づいて暗号化されるデータの量を減らす
鍵のセキュリティは、鍵に基づいて暗号化されたデータの量に反比例する。 この量は通常、データの合計バイト数、または同じキーに基づいて暗号化されたメッセージの合計数によって定義されます。 例えば、National Institute of Standards and Technology (NIST) は、ガロア /カウンタモード (GCM) における鍵の安全なライフサイクルを、鍵に基づいて暗号化されたメッセージの総数として定義している。 定期的なキーローテーションにより、各キーの安全性を維持し、暗号解読攻撃に対する脆弱性を最小限に抑えます。
- セキュリティイベントに未然に対処
システム設計の初期には、日常的な運用保守 (O&M) 方式としてキーローテーションが導入されました。 キーローテーションは、システムにセキュリティイベントの発生時の対処方法を提供します。また、ソフトウェアエンジニアリングの原則である「fail early, fail often (誰よりも早く、多く失敗しなさい)」に則っています。 緊急イベントが既に発生するまでシステム内でキー回転が実行されない場合、システム障害の確率は指数関数的に増加する。
- データの論理的分離
キーローテーション前に暗号化されたデータは、キーローテーション後に暗号化されたデータから分離されます。 キー関連のセキュリティイベントの影響を特定し、予防策を講じることができます。
- キーの解読が可能な時間間隔の短縮
暗号化キーを定期的にローテーションすることで、キーとその暗号化されたデータが解読されやすい時間枠を制御および短縮できます。 攻撃者がキーを解読できるローテーションタスクの間隔は限られています。 このため、暗号解読攻撃に対するデータのセキュリティが大幅に向上します。
規制コンプライアンスの要件を満たす
- ペイメント カード業界データ セキュリティ基準 (PCI-DSS)
- GM/T 0051-2016 などの State Cryptography Administration によって発行された暗号関連の業界規格
- NIST Publication 800-38D などの NIST によって発行された暗号関連規格