五、vault - key转置 Key Rotation

最新推荐文章于 2024-04-02 18:37:03 发布
最新推荐文章于 2024-04-02 18:37:03 发布
阅读量3.3k 收藏 2
点赞数 2
分类专栏: vault 文章标签: 加密 vault
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zrk1000/article/details/72670130
版权

vault有多个加密密钥用于各种目的。这些键支持转置,这样他们可以定期更改用以以应对潜在的泄漏或威胁。

回顾一下,vault开始在处于密封(sealed)的状态。Vault的启封是通过提供unseal keys。默认情况下,vault使用一种技术称为”Shamir’s secret sharing algorithm”的秘钥共享算法把主密钥分割成5股,任何3股即可重建的主钥匙(maser key)。主钥匙(maser key)是用来保护加密密钥(encryption key),根本上还是保护存储后端的数据。
这里写图片描述

秘钥转置(key retation),我们需要改变unseal keys ,master key,和encryption key。我们把转置操作分割成两个独立的操作,rekey和rotate。

rekey操作用于生成一个新的master key。完成后,可以改变key分裂的参数,可以改变生成unseal key的股数和开启所需的阈值。执行rekey操作必须提供当前阈值数的unseal key才可以。这是为了防止一个恶意操作符,避免随意的rekey操作和防止使master key失效。

执行rekey相当简单。rekey操作必须初始化股数和阈值。一旦初始化,必须提供当当前阈值数量的unseal key,一旦满足,库将生成新的主键,执行分裂,并使用新master key加密encryption key。然后将新unseal keys提供给操作人员,并且旧的unseal keys不再可用。

retate操作是用来改变encryption key用于保护数据写入存储后端。这个key不会提供给操作人员或对操作人员可以,操作人员只有unseal key。这简化了retation,因为它不需要当前key的持有者与rekey操作。当触发rotate操作时,生成一个新的encryption key并将其添加到钥匙圈(keyring)。所有新数据写入存储后端使用新的密钥加密。之前的加密密钥加密的旧数据仍然可以解密,因为旧的的密钥保存在密匙环。这使得秘钥转置在线完成,是个不耗资源的再加密过程。

rekey和rotate操作可以在线完成并且可配置到高可用的配置文件中,只有活跃的节点可以执行任何一个操作,但备用节点在执行任何一个操作之后仍然可以被认为是一个活跃的实例,

注:
https://www.vaultproject.io/docs/internals/rotation.html 最后一段翻译未完

Vault架构
lucca的专栏
03-03 961
vault架构 Vault功能 密码的安全存储。Vault把密码以加密的形式存储起来,黑客拿到了密文,也很难解密。这个是最基本的需求。 动态密码。一般我们创建一个db,会创建一个新的role和db关联,为此要创建密码。这样的密码越复杂越好,反正不需要人来记。Vault能够帮你动态生成这些密码。更舒服的是,动态密码可以设置生存周期,过期后生成新密码,旧密码失效,进一步在密码泄漏出去后增加了安...
aws-rotate-key:轻松旋转您的AWS访问密钥
02-02
旋转键 作为安全性最佳实践,AWS建议用户定期。 该工具简化了定义的访问密钥的旋转。 运行时,程序将列出与您的IAM用户关联的当前访问密钥,并打印其旋转步骤。 然后它将等待您的确认,然后继续。 用法 $ aws-rotate-key --help Usage of aws-rotate-key: -d Delete old key without deactivation. -mfa Use MFA. -profile string The profile to use. (default "default") -version Print version number -y Automatic "yes" to prompts. 例 $ aws-rotate-key --profile work Using access key AKIAJMIGD6UPCXCFWVOA from profile "work". Your user ARN is: arn:aws:iam::123456789012:user/your_usernam
转置式密码
weixin_33950035的博客
08-03 419
转置式密码 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/08/03/3845679.html
laravel-app-key-rotation:旋转Laravel APP_KEY时用于重新加密现有加密数据的帮助程序库
05-21
Laravel旋转APP_KEY后重新加密 旋转Laravel APP_KEY时用于重新加密现有加密数据的帮助程序库 APP_KEY用于确保您的用户会话和其他加密数据的安全! 如果未设置应用程序密钥,则用户会话和其他加密数据将不安全。 信不信由你,这是一个很大的安全隐患。 为了给您更具体的上下文,早期的laravel有一个安全问题: 如果您的应用程序的加密密钥在恶意方的手中,则该方可以使用该加密密钥来制作Cookie值,并利用PHP对象序列化/反序列化所固有的漏洞,例如在应用程序内调用任意类方法。 因此,重要的是要频繁地旋转APP_KEY。 您如何使用此软件包: 在现有应用程序中更改APP_KEY时,由于使用APP_KEY进行了加密,因此使用Crypt外观或crypto()帮助函数进行了加密的应用程序中的任何数据将不再被解密。 因此,当您运行php artisan key:ge
Using Multiple Keys and Key Rotation
BLOG域名:programb.blog.youkuaiyun.com
03-30 174
In addition to the {cipher} prefix in encrypted property values, the Config Server looks for zero or more {name:value} prefixes before the start of the (Base64 encoded) cipher text. The keys are passe...
OpenStack Fernet Key Rotate
weixin_33898233的博客
07-07 662
2019独角兽企业重金招聘Python工程师标准>>> ...
keyvault-certificate-rotation:自动更新Azure CDN前门的密钥保管库证书
01-29
Azure CDN /前门(预先设置的Key Vault证书) 入门 1.部署应用程序 2.将访问控制(IAM)添加到Azure CDN /前门 打开自动更新目标CDN配置文件/前门或包含CDN配置文件/前门的资源组的Access Control (IAM) ,然后将...
azure-keyvault-plugin:适用于Azure Keyvault的Jenkins插件
04-06
Azure Key Vault插件 此插件使Jenkins能够从Azure Keyvault中获取机密并将其直接注入到构建作业中。 它的工作方式类似于并从借用了很多东西。 该插件充当Azure Active Directory应用程序,并且必须配置有有效的凭据...
serverless-keyvault-secret-rotation-handling:此示例展示了一种方式来处理“滚动”或更新组织中正常安全操作的一部分“ Azure功能”使用的KeyVault机密的情况
05-21
通常,组织要求将任何秘密,密钥等存储在KeyVault中,并按需(在发生破坏的情况下)或作为路由策略的一部分进行轮换。 在这些情况下,您的Azure功能也可能正在使用这些KeyVault机密,尤其是通过“ 。 在这种情况下...
azure-keyvault-secretstore:轻松使用Azure KeyVault来管理Function App中的机密
04-29
天蓝色密钥库秘密存储 在KeyVault中存储机密 :locked_with_key: 并在...npm install azure-keyvault-secretstore 用法 快速示例如何在启用了MSI的功能应用程序中使用此功能: const { SecretStore , createKeyVaul
terraform-azure-key-vault-module:使用Terraform的Azure Key Vault模块
01-31
2. **导入 Azure Key Vault 模块**: Terraform 提供了官方和社区维护的模块,如 `terraform-azure-key-vault-module`。这些模块封装了创建和配置 Key Vault 的常见步骤,我们可以在 Terraform 配置文件中引用它们。...
Rotation Key Reduction for CKKS-Based Neural Network
最新发布
wenjie的博客
04-02 656
基于CKKS实现的分级旋转密钥系统,用于密态机器学习。
AES的转置实现
rqX的博客
04-29 1141
AES的转置实现 AES是按列输入数据的,但按行排列数据更符合电脑的数据存储方式,可以更方便的进行数据类型的转换,也更适合查表的实现,以达到更快的效率。 转置实现的好处有: 需要时可以按字存取,甚至可以按64位数存取,减少了循环的次数 更符合查表实现的逻辑 更适合人的直观感受 在AES的几种变换中,SBOX是完全按照字节进行变换的,转置下的实现对于SBOX替换没有任何影响,可以不做改动。 轮密钥加 当按转置实现时,轮密钥加的效率提升很大,本来需要一字节一字节相加的,现在直接进行uint64_t *te
ansile 命令解释选项
Z14523299999的博客
09-03 212
1, -a MODULE_ARGS --args=MODULE_ARGS     作用传递参数给模块使用 2, --ask-vault-pass 执行时询问vault的密码 3, -B SECONDS --background=SECONDS   异步运行的时候指定多少秒后超时 4, -P --poll=POLL_INTERVAL   ...
如何在建木CI中使用Vault管理密钥
Jianmu_Dev的博客
12-13 705
大家好呀! 最近在使用建木CI部署项目的过程中,集成了Vault,感觉还挺有意思的,这里给大家分享一下我集成的过程吧! 首先贴上建木CI和Vault的介绍,需要了解更多的小伙伴戳链接: 建木CI :https://jianmu.dev/ Vault:https://www.vaultproject.io/ 建木CI以触发器、流程编排、任务分发等功能为平台核心,可以应用在各类使用场景下,包括但不限于,CI/CD、DevOps、自动化运维、多业务系统集成等场景。 Vault 是一个基于身份的机密和加密管理系统
ExoPlayer详解——高级主题(官方文档)
MRYZJ的博客
08-08 6730
一、数字版权管理 ExoPlayer使用Android的MediaDrmAPI来支持受DRM保护的播放。不同支持的DRM方案所需的最低Android版本以及支持它们的流式格式为: DRM格式 Android版本号 Android API级别 支持的格式 Widevine“cenc” 4.4 19 DASH,HLS(仅限FMP4) Widevine“cbcs”,“cbc1”和“c...
vault key 管理工具
weixin_34247299的博客
07-02 321
Vault is a tool for securely accessing secrets. A secret is anything that you want to tightly control access to, such as API keys, passwords, certificates, and more. Vault provides a unified interfa...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值