Qu'est-ce que Rotation de clés ?
La rotation de clés est la pratique de sécurité consistant à remplacer régulièrement les clés cryptographiques ou identifiants actifs par des éléments nouvellement générés, et à mettre hors service ou révoquer les anciennes clés, afin de limiter la fenêtre d'exposition en cas de compromission.
Aussi connu sous le nom de : credential rotation, secret rotation
Chaque clé a une durée de vie limitée. Plus une clé reste en service, plus elle chiffre de données (ce qui augmente le matériel disponible pour la cryptanalyse), plus il y a d'occasions de la divulguer ou de la voler, et plus les dégâts sont importants en cas de compromission. La rotation de clés limite cette exposition en garantissant qu'une seule clé ne protège qu'une quantité limitée de données sur une période limitée.
Les stratégies de rotation varient selon le type de clé. Les clés de chiffrement symétriques devraient être renouvelées en fonction du volume d'utilisation ou du temps ; de nombreux standards recommandent une rotation avant qu'une clé ne chiffre plus de 2^32 blocs. Les clés d'API et les identifiants de service sont généralement renouvelés selon un calendrier fixe (30, 60 ou 90 jours) ou immédiatement en cas de compromission suspectée. Les certificats TLS ont des dates d'expiration intégrées qui imposent une rotation.
Une rotation de clés efficace exige des systèmes conçus pour cela. Les applications devraient prendre en charge plusieurs clés actives simultanément (pour déchiffrer les anciennes données et chiffrer les nouvelles avec la clé la plus récente), et le processus de rotation devrait être automatisé pour éviter les erreurs manuelles. L'encapsulation de clé et le chiffrement par enveloppe simplifient la rotation : renouveler une clé maîtresse ne nécessite que de réencapsuler les clés de données, et non de rechiffrer l'ensemble du jeu de données.
Comment Vaulted utilise Rotation de clés
La conception éphémère de Vaulted contourne le problème classique de la rotation de clés. Chaque secret reçoit une clé AES-256-GCM unique qui n'existe que le temps de vie de ce secret : il n'y a aucune clé à longue durée de vie à renouveler. Dès que le secret s'autodétruit (par limite de consultations ou expiration), le texte chiffré sur le serveur comme la clé dans le lien partagé deviennent sans objet. Ce modèle d'une clé par secret offre des garanties plus fortes qu'une rotation périodique, puisqu'aucune clé ne protège jamais plus d'un secret.