¿Qué es Rotación de claves?

Toda clave tiene una vida útil. Cuanto más tiempo permanece en uso una clave, más datos se cifran con ella (aumentando el material disponible para el criptoanálisis), más oportunidades existen de que se filtre o sea robada, y mayor es el daño si se ve comprometida. La rotación de claves limita esta exposición asegurando que cualquier clave individual proteja solo una cantidad acotada de datos durante un periodo de tiempo acotado.

Las estrategias de rotación varían según el tipo de clave. Las claves de cifrado simétrico deben rotarse según el volumen de uso o el tiempo: muchos estándares recomiendan rotarlas antes de que una clave cifre más de 2^32 bloques. Las claves de API y las credenciales de servicio suelen rotarse según un calendario (30, 60 o 90 días) o inmediatamente ante una sospecha de compromiso. Los certificados TLS tienen fechas de caducidad incorporadas que fuerzan la rotación.

Una rotación de claves eficaz requiere sistemas diseñados para ello. Las aplicaciones deben admitir varias claves activas simultáneamente (para descifrar datos antiguos mientras cifran datos nuevos con la clave más reciente), y el proceso de rotación debe estar automatizado para evitar errores manuales. La envoltura de claves y el cifrado en sobre simplifican la rotación: rotar una clave maestra solo requiere volver a envolver las claves de datos, no volver a cifrar todos los datos.

Cómo usa Vaulted Rotación de claves

El diseño efímero de Vaulted evita el problema tradicional de la rotación de claves. Cada secreto recibe una clave AES-256-GCM única que existe solo durante la vida de ese secreto: no hay una clave de larga duración que rotar. Una vez que el secreto se autodestruye (por límite de visualizaciones o caducidad), tanto el texto cifrado en el servidor como la clave en el enlace compartido pasan a ser irrelevantes. Este modelo de una clave por secreto ofrece garantías más sólidas que la rotación periódica, porque ninguna clave protege jamás más de un secreto.