Apa itu Rotasi Kunci?

Setiap kunci memiliki masa pakai yang terbatas. Semakin lama sebuah kunci digunakan, semakin banyak data yang dienkripsi dengannya (meningkatkan materi yang tersedia untuk kriptanalisis), semakin banyak peluang kunci itu bocor atau dicuri, dan semakin besar kerusakan jika terkompromikan. Rotasi kunci membatasi paparan ini dengan memastikan bahwa setiap kunci hanya melindungi sejumlah data terbatas dalam rentang waktu terbatas.

Strategi rotasi bervariasi menurut jenis kunci. Kunci enkripsi simetris sebaiknya dirotasi berdasarkan volume penggunaan atau waktu — banyak standar merekomendasikan rotasi sebelum sebuah kunci mengenkripsi lebih dari 2^32 blok. API key dan kredensial layanan biasanya dirotasi berdasarkan jadwal kalender (30, 60, atau 90 hari) atau segera setelah diduga terkompromikan. Sertifikat TLS memiliki tanggal kedaluwarsa bawaan yang memaksa terjadinya rotasi.

Rotasi kunci yang efektif membutuhkan sistem yang dirancang untuk itu. Aplikasi harus mendukung beberapa kunci aktif secara bersamaan (untuk mendekripsi data lama sambil mengenkripsi data baru dengan kunci terkini), dan proses rotasi sebaiknya diotomasi untuk menghindari kesalahan manual. Key wrapping dan envelope encryption menyederhanakan rotasi: merotasi kunci master hanya memerlukan re-wrapping kunci data, bukan mengenkripsi ulang seluruh dataset.

Cara Vaulted menggunakan Rotasi Kunci

Desain ephemeral Vaulted menghindari masalah rotasi kunci tradisional. Setiap rahasia mendapatkan kunci AES-256-GCM yang unik dan hanya ada selama masa hidup rahasia tersebut — tidak ada kunci berumur panjang yang perlu dirotasi. Begitu rahasia menghancurkan dirinya sendiri (melalui batas tampilan atau kedaluwarsa), baik ciphertext di server maupun kunci di tautan yang dibagikan menjadi tidak relevan. Model satu kunci per rahasia ini memberikan jaminan yang lebih kuat dari rotasi berkala karena tidak ada satu kunci pun yang pernah melindungi lebih dari satu rahasia.