O que é Rotação de chaves?
A rotação de chaves é a prática de segurança de substituir periodicamente as chaves criptográficas ou credenciais ativas por outras recém-geradas, aposentando ou revogando as antigas, para limitar a janela de exposição caso uma chave seja comprometida.
Também conhecido como: credential rotation, secret rotation
Toda chave tem uma vida útil. Quanto mais tempo uma chave permanece em uso, mais dados são criptografados com ela (aumentando o material disponível para a criptoanálise), mais oportunidades existem de que ela vaze ou seja roubada, e maior é o dano se ela for comprometida. A rotação de chaves limita essa exposição garantindo que qualquer chave individual proteja apenas uma quantidade limitada de dados durante um período de tempo limitado.
As estratégias de rotação variam conforme o tipo de chave. As chaves de criptografia simétrica devem ser rotacionadas conforme o volume de uso ou o tempo: muitos padrões recomendam rotacioná-las antes que uma chave criptografe mais de 2^32 blocos. As chaves de API e as credenciais de serviço costumam ser rotacionadas conforme um cronograma (30, 60 ou 90 dias) ou imediatamente diante de uma suspeita de comprometimento. Os certificados TLS têm datas de expiração embutidas que forçam a rotação.
Uma rotação de chaves eficaz exige sistemas projetados para isso. As aplicações devem aceitar várias chaves ativas simultaneamente (para descriptografar dados antigos enquanto criptografam dados novos com a chave mais recente), e o processo de rotação deve ser automatizado para evitar erros manuais. O encapsulamento de chave e a criptografia em envelope simplificam a rotação: rotacionar uma chave mestra só exige encapsular novamente as chaves de dados, e não criptografar novamente todos os dados.
Como o Vaulted usa Rotação de chaves
O design efêmero do Vaulted evita o problema tradicional da rotação de chaves. Cada segredo recebe uma chave AES-256-GCM única que existe apenas durante a vida desse segredo: não há uma chave de longa duração para rotacionar. Uma vez que o segredo se autodestrói (por limite de visualizações ou expiração), tanto o texto cifrado no servidor quanto a chave no link compartilhado passam a ser irrelevantes. Esse modelo de uma chave por segredo oferece garantias mais sólidas do que a rotação periódica, porque nenhuma chave jamais protege mais de um segredo.