Ein Schlüssel ohne Rotation = ein kompromittierter Schlüssel gilt für immer. Regelmäßige Rotation begrenzt die Auswirkungen eines möglichen Lecks.

Warum rotieren¶

• Begrenzung der Expositionszeit bei Kompromittierung
• Compliance-Anforderungen (PCI DSS: jährlich)
• Reduzierung der mit einem einzigen Schlüssel verschlüsselten Datenmenge
• Ausscheiden von Mitarbeitern mit Zugriff

AWS KMS automatische Rotation¶

Terraform¶

resource “aws_kms_key” “main” { enable_key_rotation = true # Rotation jedes Jahr }

Manuelle Rotation¶

aws kms create-key –description “new-key”

Daten mit neuem Schlüssel re-encrypten¶

Envelope Encryption¶

Daten werden mit einem Data Encryption Key (DEK) verschlüsselt. Der DEK wird mit einem Key Encryption Key (KEK) im KMS verschlüsselt. Sie rotieren den KEK — re-wrap des DEK, nicht Re-Encryption aller Daten.

Wichtigste Erkenntnis¶

Automatische Rotation über KMS. Envelope Encryption für effiziente Rotation. Übergangsfrist für alte Schlüssel einplanen.