AWS KMI -如果泄露，则强制密钥轮换

Question

如何强制AWS KMI在妥协后轮换密钥？似乎我可以指示AWS一年自动轮换一次密钥。但按需，如果妥协-似乎是不可能的。具体而言，PCI-DSS要求：

3.6.5

a)当密钥的完整性受到削弱(例如，知道明文密钥的员工离职)时，加密密钥程序是否包括密钥的退役或替换(例如，存档、销毁和/或撤销)？

b)加密密钥程序是否包括替换已知或可疑的泄露密钥？

Answer 1

(当您说KMI时，我猜您指的是AWS KMS。)

这是一个有效的问题。手动旋转关键点的方法是创建一个新关键点，并将别名从旧关键点更改为新关键点。不幸的是，大多数AWS资源都使用密钥id，因此您必须评估哪个资源仍在使用旧的资源。

如果您使用基础架构作为代码工具，例如Terraform或Pulumi，您只需要污染KMS资源，因此它将使用新的ID重新创建，如果您做的一切都是正确的，例如在Terraform中使用基于别名的数据查询，您只需要为这些资源运行管道，就可以了。

Answer 2

如何强制AWS KMI在妥协后轮换密钥？

：密钥轮换不会减少密钥数据的泄露。

密钥轮换是一种防止加密过多数据块的机制(加密数据量与密钥泄露概率之间有一个数学关系)

基本上，密钥轮换为新的加密创建了新版本的密钥，但KMS将允许解密使用旧密钥版本加密的任何密文。

请参阅：https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotate-keys-manually

不幸的是，大多数亚马逊网络服务资源都使用密钥id，因此您必须评估哪个资源仍在使用旧的资源。

当使用手动密钥轮换时，应用程序需要知道哪个密钥是当前密钥(例如，使用别名)，但是密文需要对密钥id/arn的引用来解密。

，但按需，如果妥协-似乎是不可能的。

默认情况下，KMS密钥不会离开硬件。KMS密钥本身不可能被破坏，因此自动轮换可能是可行的，具有所有优点(保持相同的ARN/ID/别名)

然而- KMS是为envelope encryption设计的，KMS用于加密随机数据密钥或服务特定密钥，这在理论上可能会泄露。然后，您需要创建策略来管理此风险