PCI合规性要求每年轮换密钥.我不断遇到的“密钥轮换”的定义是解密您的数据,然后使用新密钥重新加密.真?每个人都在每年解密/加密所有加密数据?
目前,我在3台服务器上拥有16个数据库,每个数据库中有多个表 – 这将继续增长.手动执行此操作会带来错误的巨大机会,使我的数据无法读取.是的,我可以写一些东西来做这件事……但这真的是每个人都在做什么吗?
所以问题是你是手动处理这个问题还是推荐一个负担得起的(主观的,我知道的)第三方工具?
我已经看到了一些关于“更改”层次结构中更高层的密钥的建议.我们使用经常推荐的数据库主密钥层次结构来加密证书,该证书对加密数据的对称密钥进行加密.
首先,这似乎不符合“旋转钥匙”的定义.其次,即使我更改了DMK或Cert,也不会阻止使用相同的对称密钥对数据进行解密,这可能是坏人被盗/破解的.
解决方法
您对“旋转键”的定义是正确的.您需要使用“旧”密钥解密数据,并使用“新”密钥对其进行重新加密.有很多商店每年这样做,是的 – 这是一项很多工作,最好通过自动化程序完成(你可以编写自己的工具 – 我不知道任何第三方工具,但我“我相信它们存在.”
<咆哮>
PCI-DSS 2.0要求的解释3.6.4“已经到达加密期间结束的密钥的加密密钥更改(例如,在经过一段规定的时间后……”)“您必须每年轮换密钥或者世界将结束“是短视的,并且在我/我的审计员的意见不正确:如果你使用足够强大的算法(例如AES-256)并且没有已知的钥匙旋转违规,你的钥匙不能提供更好的安全性 – 事实上它创造了一个新的曝光(只要解密/重新加密你的数据,旧密钥需要提供给程序 – 即使机器做这项工作是安全的,它仍然需要把密钥放入不止一个地方).
请注意,如果您想要成功地创建此参数,您需要两件事:一个对密码学有基本了解的审核员,以及面对NIST publication 800-57(特别是“推荐的加密期间”表)的防御性策略.例如,我们的政策要求AES-256(没有实际攻击,并且将永远用于暴力)并在终止直接访问密钥的人员时强制进行密钥轮换(关键系统管理员工作人员,某些C级人员) ).
< /咆哮>