Ротация ключей

Ротация ключей — это операционная практика регулярной генерации новых криптографических ключей и вывода старых из эксплуатации с достаточным перекрытием для расшифровки ранее защищённых данных. Она ограничивает объём шифртекста или подписанного материала, который злоумышленник может скомпрометировать одним украденным ключом, поддерживает политики криптопериода (NIST SP 800-57), позволяет переходить на более стойкие алгоритмы и требуется стандартами PCI DSS, FIPS 140-3 и SOC 2. Распространённые шаблоны — версионирование ключей (v1, v2…), envelope-шифрование с ротирующимися DEK под стабильным KEK и автоматическая ротация в KMS-сервисах (AWS KMS, Azure Key Vault, Google Cloud KMS). Ротация должна сопровождаться мониторингом, безопасным уничтожением ключей и планом отката при неудачных развёртываниях.