schlüssellebenszyklusstatus des Key Management Framework

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • KMF unterstützt mehrere status des Lebenszyklus kryptografischer Schlüssel durch die Durchsetzung bestimmter zulässiger Aktionen. Beispielsweise können nur Schlüssel, die sich im Status „aktiv“ befinden, vollständig für ihren beabsichtigten kryptografischen Zweck verwendet werden. Die folgende Tabelle enthält weitere Details zu den unterschiedlichen status des Schlüssellebenszyklus.

    Status oder Aktion des Schlüssellebenszyklus Beschreibung
    Aktiv Der aktive Schlüssel wird zum Generieren neuer Inhalte verwendet, z. B. zum Verschlüsseln oder Signieren. Für eine bestimmte kryptografische Spezifikation in einem kryptografischen Modul kann nur ein aktiver Schlüssel vorhanden sein.
    Gefährdet

    Kompromittierte Schlüssel können nicht zum Generieren neuer Inhalte verwendet werden, z. B. zum Verschlüsseln oder Signieren, können jedoch weiterhin verwendet werden, um den Zweck vorhandener Inhalte zu identifizieren, z. B. Entschlüsselung oder Verifizierung.

    Mehrere Schlüssel können im gefährdeten Status zum Widerruf in einer bestimmten kryptografischen Spezifikation in einem kryptografischen Modul vorhanden sein. Jeder aktive oder ausgesetzte Schlüssel kann in einen gefährdeten Status verschoben werden.
    Deaktiviert Jeder aktive Schlüssel kann deaktiviert werden. Für eine bestimmte kryptografische Spezifikation in einem kryptografischen Modul können mehrere Schlüssel in einem deaktivierten Status vorhanden sein.

    Wenn der Schlüssel beispielsweise gedreht wird, wird der aktuell aktive Schlüssel deaktiviert. Deaktivierte Schlüssel können nicht zum Generieren neuer Inhalte verwendet werden, z. B. zum Verschlüsseln und Signieren, können jedoch weiterhin verwendet werden, um Zwecke vorhandener Inhalte zu identifizieren, z. B. Entschlüsselung oder Verifizierung.

    Hinweis:
    Gefährdete und widerrufene Schlüssel werden als deaktivierte Schlüssel behandelt.
    Zerstört Wenn ein Schlüssel zerstört wird, wird das Schlüsselmaterial dauerhaft entfernt und kann nicht mehr für kryptografische Zwecke verwendet werden. Jeder deaktivierte Schlüssel kann mithilfe der Lebenszyklusautomatisierung gelöscht werden, wenn er im konfigurierten festgelegten Zeitrahmen nicht verwendet wurde. Es können mehrere Schlüssel in einem zerstörten Status für eine bestimmte kryptografische Spezifikation in einem kryptografischen Modul vorhanden sein.
    Warnung:
    Auf Daten, die einem zerstörten Schlüssel zugeordnet sind, kann nicht mehr zugegriffen werden. Daher ist bei der Ausführung einer Aktion zum Löschen eines Schlüssels mit äußerster Vorsicht vorzugehen.
    Generiert Mehrere Schlüssel können im generierten Status für eine bestimmte kryptografische Spezifikation in einem kryptografischen Modul vorhanden sein.

    Ein generierter Schlüssel kann in einen aktiven Status verschoben werden, wenn für die angegebene kryptografische Spezifikation kein aktiver Schlüssel vorhanden ist. Der erste generierte Schlüssel wird automatisch auf „aktiv“ gesetzt.

    Hinweis:
    Wenn die Möglichkeit besteht, einen neuen Schlüssel zu generieren, wird ein neuer Schlüssel generiert und aktiviert, obwohl Schlüssel in einem generierten Status für die angegebene kryptografische Spezifikation vorhanden sind.
    Erneuert Ein aktiver Schlüssel mit einem Ablaufdatum kann beliebig oft verlängert werden, um den Lebenszyklus des Schlüssels zu verlängern.
    Hinweis:
    Die Differenz zwischen Aktivierungsdatum und Ablaufdatum wird berechnet, und das Ablaufdatum wird um diese Dauer ab dem aktuellen Tag verschoben.
    Fortfahren Die UI-Aktion ist für ausgesetzte Schlüssel verfügbar, um sie in einen aktiven Status zurückzuversetzen, wenn für die angegebene kryptografische Spezifikation kein anderer aktiver Schlüssel vorhanden ist.
    Widerrufen Jeder aktive oder ausgesetzte Schlüssel kann in den Status „Widerrufen“ verschoben werden.

    Widerrufene Schlüssel können nicht zum Generieren neuer Inhalte verwendet werden, z. B. zum Verschlüsseln oder Signieren, können jedoch weiterhin verwendet werden, um den Zweck vorhandener Inhalte zu identifizieren, z. B. zur Entschlüsselung oder Verifizierung.

    Mehrere Schlüssel mit widerrufenem Status können für eine bestimmte kryptografische Spezifikation in einem kryptografischen Modul vorhanden sein.
    Rotiert Schlüsselrotation führt dazu, dass der aktuell aktive Schlüssel deaktiviert und ein anderer Schlüssel aktiviert wird. Wählen Sie den neuen aktiven Schlüssel aus den folgenden Optionen aus:
    • Generierung eines neuen Schlüssels.
    • Zeigen Sie auf einen vorhandenen importierten Schlüssel. Jeder aktive Schlüssel kann rotiert werden.
    Angehalten Für eine bestimmte kryptografische Spezifikation in einem kryptografischen Modul können mehrere Schlüssel im Status „angehalten“ vorhanden sein. Wenn der Schlüssel angehalten wird, kann der Schlüssel fortgesetzt und in einen aktiven Status versetzt werden, wenn kein anderer aktiver Schlüssel für diese kryptografische Spezifikation vorhanden ist.