Schlüsselrotation

Schlüsselrotation ist die operative Praxis, regelmäßig neue Kryptoschlüssel zu erzeugen und alte auszumustern, dabei aber eine Überlappungsphase einzuhalten, damit vorher geschützte Daten weiterhin entschlüsselt werden können. Sie begrenzt das Volumen an Chiffretext oder signiertem Material, das ein Angreifer mit einem gestohlenen Schlüssel kompromittieren kann, unterstützt Kryptoperioden-Vorgaben (NIST SP 800-57), ermöglicht den Wechsel zu stärkeren Algorithmen und ist in Standards wie PCI DSS, FIPS 140-3 und SOC 2 vorgeschrieben. Gängige Muster sind Schlüsselversionierung (v1, v2 …), Envelope Encryption mit rotierenden Datenchiffrierschlüsseln unter einem stabilen Schlüsselverschlüsselungsschlüssel sowie automatisierte Rotation in KMS-Diensten wie AWS KMS, Azure Key Vault oder Google Cloud KMS. Rotation muss durch Monitoring, sichere Schlüsselvernichtung und Rollback-Pläne flankiert werden.