Rotação de chaves
O que é Rotação de chaves?
Rotação de chavesSubstituição periódica das chaves criptográficas por novas para limitar o volume de dados protegidos por uma única chave e conter o impacto de um comprometimento.
A rotação de chaves é a prática operacional de gerar regularmente novas chaves criptográficas e retirar as antigas, mantendo sobreposição suficiente para decifrar dados previamente protegidos. Limita a quantidade de cifrado ou material assinado que um atacante pode comprometer com uma única chave roubada, suporta políticas de cryptoperiod (NIST SP 800-57), permite migrar para algoritmos mais fortes e é exigida por padrões como PCI DSS, FIPS 140-3 e SOC 2. Padrões comuns incluem versionamento de chaves (v1, v2…), cifragem por envelope com DEKs rotativas sob uma KEK estável e rotação automatizada via KMS (AWS KMS, Azure Key Vault, Google Cloud KMS). A rotação tem de ser acompanhada por monitorização, destruição segura das chaves e um plano de rollback para falhas de implantação.
● Exemplos
- 01
O AWS KMS efetua rotação do material de chave subjacente de uma CMK todos os anos, mantendo o mesmo Key ID.
- 02
Rotação de uma chave HMAC de assinatura de API a cada 90 dias com 7 dias de período de tolerância.
● Perguntas frequentes
O que é Rotação de chaves?
Substituição periódica das chaves criptográficas por novas para limitar o volume de dados protegidos por uma única chave e conter o impacto de um comprometimento. Pertence à categoria Criptografia da cibersegurança.
O que significa Rotação de chaves?
Substituição periódica das chaves criptográficas por novas para limitar o volume de dados protegidos por uma única chave e conter o impacto de um comprometimento.
Como se defender contra Rotação de chaves?
As defesas contra Rotação de chaves costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Rotação de chaves?
Nomes alternativos comuns: Rotação de cryptoperiod, Renovação de chave.