Cifrado por sobre
¿Qué es Cifrado por sobre?
Cifrado por sobrePatron en el que los datos se cifran con una clave de datos rapida, que a su vez es cifrada (envuelta) por una clave maestra almacenada en un KMS o HSM.
El cifrado por sobre separa el cifrado simetrico masivo de la custodia de claves. Una clave de cifrado de datos (DEK) por objeto -normalmente una AES-256 nueva- cifra la carga util y, a continuacion, la DEK se cifra con una clave de cifrado de claves (KEK) o clave maestra de larga vida que nunca sale del KMS o HSM. Solo la DEK envuelta se guarda junto al texto cifrado; para descifrar se necesita una llamada al KMS que desenvuelve la DEK bajo los controles IAM adecuados. Este patron permite cifrado local rapido, claves por inquilino o por registro, rotacion barata (se reenvuelve la DEK, no los datos) y trazas de auditoria limpias. Es la base de AWS KMS, Google Cloud KMS, S3 SSE-KMS y casi todo el cifrado de almacenamiento en la nube.
● Ejemplos
- 01
AWS KMS GenerateDataKey devuelve la DEK en claro y su version envuelta por KMS.
- 02
Google Cloud Storage CMEK usa cifrado por sobre con KEK gestionadas por el cliente.
● Preguntas frecuentes
¿Qué es Cifrado por sobre?
Patron en el que los datos se cifran con una clave de datos rapida, que a su vez es cifrada (envuelta) por una clave maestra almacenada en un KMS o HSM. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa Cifrado por sobre?
Patron en el que los datos se cifran con una clave de datos rapida, que a su vez es cifrada (envuelta) por una clave maestra almacenada en un KMS o HSM.
¿Cómo funciona Cifrado por sobre?
El cifrado por sobre separa el cifrado simetrico masivo de la custodia de claves. Una clave de cifrado de datos (DEK) por objeto -normalmente una AES-256 nueva- cifra la carga util y, a continuacion, la DEK se cifra con una clave de cifrado de claves (KEK) o clave maestra de larga vida que nunca sale del KMS o HSM. Solo la DEK envuelta se guarda junto al texto cifrado; para descifrar se necesita una llamada al KMS que desenvuelve la DEK bajo los controles IAM adecuados. Este patron permite cifrado local rapido, claves por inquilino o por registro, rotacion barata (se reenvuelve la DEK, no los datos) y trazas de auditoria limpias. Es la base de AWS KMS, Google Cloud KMS, S3 SSE-KMS y casi todo el cifrado de almacenamiento en la nube.
¿Cómo defenderse de Cifrado por sobre?
Las defensas contra Cifrado por sobre combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cifrado por sobre?
Nombres alternativos comunes: Cifrado envuelto, Patron DEK/KEK.
● Términos relacionados
- cryptography№ 588
Sistema de Gestion de Claves
Servicio centralizado que genera, almacena, rota y audita claves criptograficas en nombre de las aplicaciones, normalmente respaldado por modulos de seguridad hardware.
- cryptography№ 589
Rotación de claves
Sustitución periódica de claves criptográficas por nuevas para limitar el volumen de datos protegidos por una sola clave y contener el impacto de un compromiso.
- cryptography№ 023
AES-GCM
Modo de cifrado autenticado que combina AES en modo contador con una etiqueta de autenticación basada en GHASH para confidencialidad e integridad en una sola pasada.
- cloud-security№ 124
Bring Your Own Key (BYOK)
Modelo de gestión de claves en el que el cliente genera o importa sus propias claves de cifrado en el KMS del proveedor cloud, en lugar de usar las generadas por este.
● Véase también
- № 871Re-cifrado por proxy