Schlüssellebenszyklusstatus des Key Management Framework
KMF unterstützt mehrere Lebenszyklusstatus kryptografischer Schlüssel durch die Erzwingung bestimmter zulässiger Aktionen. Beispielsweise können nur Schlüssel, die sich im Status „Aktiv“ befinden, vollständig für ihren beabsichtigten kryptografischen Zweck verwendet werden. Die folgende Tabelle enthält weitere Details zu den verschiedenen Lebenszyklusstatus der Schlüssel.
| Schlüssel-Lebenszyklusstatus oder Aktion | Beschreibung |
|---|---|
| Aktiv | In einem kryptografischen Modul kann nur ein aktiver Schlüssel für eine bestimmte kryptografische Spezifikation vorhanden sein. |
| Gefährdet | In einem kryptografischen Modul können mehrere Schlüssel im Status „Gefährdet“ vorhanden sein, die in einer bestimmten kryptografischen Spezifikation widerrufen werden sollen. Jeder aktive oder angehaltene Schlüssel kann in einen gefährdeten Status verschoben werden. Kompromittierte Schlüssel können nicht zum Generieren neuer Inhalte verwendet werden, z. B. zum Verschlüsseln oder Signieren, sie können jedoch dennoch verwendet werden, um den Zweck vorhandener Inhalte zu identifizieren, z. B. Entschlüsseln oder Verifizieren. |
| Deaktiviert | Jeder aktive Schlüssel kann deaktiviert werden. Für eine bestimmte kryptografische Spezifikation können in einem kryptografischen Modul mehrere Schlüssel deaktiviert sein. Wenn Sie beispielsweise den Schlüssel drehen, wird der aktuell aktive Schlüssel deaktiviert. Deaktivierte Schlüssel können nicht zum Generieren neuer Inhalte verwendet werden, z. B. zum Verschlüsseln und Signieren, können aber dennoch verwendet werden, um Zwecke vorhandener Inhalte zu identifizieren, z. B. Entschlüsselung oder Überprüfung. Hinweis: Gefährdete und widerrufene Schlüssel werden als deaktivierte Schlüssel behandelt. |
| Zerstört | Wenn ein Schlüssel zerstört wird, wird das Schlüsselmaterial dauerhaft entfernt und kann nicht mehr für kryptografische Zwecke verwendet werden. Jeder deaktivierte Schlüssel kann mithilfe der Lebenszyklusautomatisierung gelöscht werden, wenn er im angegebenen Zeitrahmen nicht verwendet wurde. In einem kryptografischen Modul können sich für eine bestimmte kryptografische Spezifikation mehrere Schlüssel im Status „Gelöscht“ befinden. Warnung: Auf die Daten, die einem zerstörten Schlüssel zugeordnet sind, kann nicht mehr zugegriffen werden. Daher ist bei der Ausführung einer Schlüssellöschaktion äußerste Vorsicht geboten. |
| Generiert | Für eine bestimmte kryptografische Spezifikation können in einem kryptografischen Modul mehrere Schlüssel im generierten Status vorhanden sein. Ein generierter Schlüssel kann in einen aktiven Status verschoben werden, wenn für die angegebene kryptografische Spezifikation kein aktiver Schlüssel vorhanden ist. Der erste generierte Schlüssel wird automatisch auf „Aktiv“ festgelegt. Hinweis: Wenn die Option zum Generieren eines neuen Schlüssels besteht, wird ein neuer Schlüssel generiert und aktiviert, obwohl für die angegebene kryptografische Spezifikation Schlüssel im generierten Status vorhanden sind. |
| Erneuert | Ein aktiver Schlüssel mit einem Ablaufdatum kann beliebig oft verlängert werden, um den Lebenszykluszeitraum des Schlüssels zu verlängern. Hinweis: Die Differenz zwischen dem Aktivierungsdatum und dem Ablaufdatum wird berechnet, und das Ablaufdatum wird um diese Dauer vom aktuellen Tag verschoben. |
| Fortfahren | Die UI-Aktion ist für angehaltene Schlüssel verfügbar, um sie zurück in einen aktiven Status zu versetzen, wenn für die angegebene kryptografische Spezifikation kein anderer aktiver Schlüssel vorhanden ist. |
| Widerrufen | Jeder aktive oder angehaltene Schlüssel kann in den Status „Widerrufen“ versetzt werden. Widerrufene Schlüssel können nicht zum Generieren neuer Inhalte verwendet werden, z. B. zum Verschlüsseln oder Signieren, sie können jedoch dennoch verwendet werden, um den Zweck vorhandener Inhalte zu identifizieren, z. B. zur Entschlüsselung oder Überprüfung. Für eine bestimmte kryptografische Spezifikation können in einem kryptografischen Modul mehrere Schlüssel im Status „widerrufen“ vorhanden sein. |
| Rotiert | Die Schlüsselrotation führt dazu, dass der derzeit aktive Schlüssel deaktiviert und ein anderer Schlüssel aktiviert wird. Wählen Sie den neuen aktiven Schlüssel aus den folgenden Optionen aus:
|
| Angehalten | Für eine bestimmte kryptografische Spezifikation können sich in einem kryptografischen Modul mehrere Schlüssel im Status „Angehalten“ befinden. Wenn der Schlüssel ausgesetzt ist, kann er fortgesetzt und einem aktiven Status zugewiesen werden, wenn für diese kryptografische Spezifikation kein anderer aktiver Schlüssel vorhanden ist. |