Key Rotation (rotacja kluczy) - definicja
Key Rotation, czyli rotacja kluczy kryptograficznych, to kontrolowany proces zastępowania dotychczas używanego klucza nowym kluczem w określonym cyklu lub po wystąpieniu zdefiniowanego zdarzenia. W praktyce chodzi o ograniczenie czasu, przez który jeden klucz szyfrujący pozostaje aktywny, oraz o zmniejszenie skutków jego ewentualnego ujawnienia, kradzieży albo błędnej konfiguracji.
W kontekście anonimizacji zdjęć i nagrań wideo rotacja kluczy dotyczy przede wszystkim ochrony materiałów źródłowych, plików po anonimizacji, kopii roboczych, metadanych, eksportów oraz konfiguracji systemu. Nie jest to mechanizm samego zamazywania twarzy lub tablic rejestracyjnych, ale istotny element bezpieczeństwa całego procesu przetwarzania. Jeżeli organizacja przechowuje obrazy lub nagrania przed anonimizacją, to klucze użyte do szyfrowania tych danych powinny podlegać cyklicznej wymianie zgodnie z polityką bezpieczeństwa.
Z perspektywy norm i dobrych praktyk pojęcie to jest powiązane z zarządzaniem cyklem życia klucza kryptograficznego. NIST definiuje ten obszar w publikacji NIST SP 800-57 Part 1 Rev. 5 z 2020 r., gdzie opisano generowanie, dystrybucję, użycie, archiwizację, wycofanie i zniszczenie kluczy. Z kolei NIST SP 800-38D określa wymagania dla trybu AES-GCM, w tym ryzyka związane z niewłaściwym użyciem parametrów takich jak nonce/IV. W środowiskach korporacyjnych rotacja kluczy jest też elementem zgodności z ISO/IEC 27001:2022 i ISO/IEC 27002:2022, które wymagają stosowania kontroli kryptograficznych i formalnych zasad zarządzania kluczami.
Rola rotacji kluczy w anonimizacji zdjęć i wideo
W systemach służących do anonimizacji materiałów wizualnych klucze kryptograficzne nie odpowiadają za wykrywanie twarzy ani tablic rejestracyjnych. Te zadania realizują modele detekcyjne, zwykle oparte na deep learning, które lokalizują obiekty w kadrze. Rotacja kluczy zabezpiecza natomiast dane, które są przetwarzane przez taki system.
W praktyce obejmuje to kilka warstw ochrony.
- szyfrowanie plików wejściowych - materiałów przed zamazaniem, które zawierają dane osobowe,
- szyfrowanie plików wynikowych - jeżeli wynik nadal może zawierać informacje poufne lub wymaga ochrony operacyjnej,
- ochronę baz danych i metadanych - np. identyfikatorów zadań, statusów przetwarzania, ścieżek do plików,
- zabezpieczenie kopii zapasowych - ponieważ backup często przechowuje dane dłużej niż system produkcyjny,
- ochronę sekretów systemowych - np. kluczy API, haseł serwisowych, kluczy do magazynów obiektowych.
W środowisku on-premise rotacja kluczy ma szczególne znaczenie, ponieważ organizacja sama odpowiada za infrastrukturę, przechowywanie materiałów oraz konfigurację modułów szyfrowania. Jeżeli system przetwarza nagrania z monitoringu, materiały dowodowe, dokumentację zdarzeń lub zdjęcia z audytów terenowych, to zmniejszenie ekspozycji jednego klucza przekłada się bezpośrednio na ograniczenie ryzyka naruszenia poufności.
Jak działa rotacja kluczy w praktyce
Rotacja kluczy może być realizowana na kilka sposobów. Różnice dotyczą tego, czy wymieniany jest klucz szyfrujący dane, klucz główny chroniący inne klucze, czy oba typy jednocześnie. W systemach przetwarzających zdjęcia i wideo często stosuje się podejście warstwowe.
Najczęściej występują następujące elementy:
- DEK - Data Encryption Key - klucz szyfrujący konkretny plik, paczkę plików albo wolumin danych,
- KEK - Key Encryption Key - klucz służący do szyfrowania lub opakowywania kluczy DEK,
- master key - klucz główny przechowywany zwykle w HSM, KMS lub innym odseparowanym komponencie.
W modelu kopertowym rotacja może obejmować tylko KEK, bez ponownego szyfrowania wszystkich plików źródłowych. To zmniejsza koszt operacyjny. Jeżeli jednak polityka bezpieczeństwa wymaga pełnej zmiany materiału kryptograficznego, wykonuje się re-encryption, czyli ponowne zaszyfrowanie danych nowym DEK. Taki proces jest bardziej kosztowny i wymaga kontroli integralności.
Uproszczony zapis zależności wygląda następująco:
Dane zaszyfrowane = Encrypt(DEK, plik)
DEK zabezpieczony = Wrap(KEK, DEK)
Po rotacji KEK system odszyfrowuje poprzednio opakowany DEK i zabezpiecza go ponownie nowym KEK. Po rotacji DEK konieczne jest ponowne zaszyfrowanie samych danych.
Kluczowe parametry i metryki rotacji kluczy
Ocena poprawności rotacji nie powinna ograniczać się do stwierdzenia, że klucz został zmieniony. Dla środowiska przetwarzającego obrazy i nagrania ważne są parametry techniczne, czasowe i operacyjne.
Parametr | Znaczenie | Praktyczny kontekst
|
|---|---|---|
Cryptoperiod | Czas dopuszczalnego użycia klucza | NIST SP 800-57 zaleca wyznaczanie okresu użycia zależnie od typu klucza, wartości danych i ryzyka |
Mean time to rotate (MTTRotation) | Średni czas wykonania rotacji | Wpływa na okno ekspozycji po incydencie lub zmianie polityki |
Re-encryption throughput | Liczba GB lub TB przetwarzanych na godzinę | Istotne przy dużych archiwach wideo |
Key version count | Liczba aktywnych i archiwalnych wersji klucza | Wpływa na możliwość odszyfrowania starszych materiałów |
Failure rate | Odsetek nieudanych operacji rotacji | Powinien być monitorowany dla backupów, repozytoriów i eksportów |
Recovery time | Czas odtworzenia dostępu po błędzie rotacji | Krytyczny dla ciągłości pracy i audytu |
Nie istnieje jeden uniwersalny okres rotacji odpowiedni dla wszystkich systemów. NIST wskazuje, że długość cryptoperiodu zależy od algorytmu, długości klucza, środowiska zagrożeń, liczby operacji i wartości chronionych informacji. Oznacza to, że polityka rotacji dla archiwum krótkich zdjęć może być inna niż dla repozytorium wieloletnich nagrań wideo o wysokiej wrażliwości.
Technologie i standardy powiązane z rotacją kluczy
Rotacja kluczy powinna opierać się na sprawdzonych algorytmach oraz procedurach zarządzania kluczami. W praktyce dla ochrony plików wideo i zdjęć stosuje się szyfrowanie symetryczne, a sam proces zarządzania kluczami może być realizowany lokalnie lub przez dedykowany moduł.
Najczęściej spotykane odniesienia techniczne to:
- AES - standard FIPS 197, zaktualizowany redakcyjnie przez NIST w 2023 r.,
- AES-GCM - tryb uwierzytelnionego szyfrowania opisany w NIST SP 800-38D z 2007 r.,
- NIST SP 800-57 Part 1 Rev. 5 - zarządzanie kluczami kryptograficznymi, 2020 r.,
- ISO/IEC 27001:2022 i ISO/IEC 27002:2022 - wymagania i środki bezpieczeństwa dla organizacji,
- FIPS 140-3 - wymagania dla modułów kryptograficznych; standard został opublikowany w 2019 r. i zastąpił FIPS 140-2 w procesach walidacyjnych CMVP.
Jeżeli środowisko używa HSM lub systemu KMS, rotacja może być częściowo zautomatyzowana i audytowalna. W systemie on-premise ważne jest, aby rozdzielić role administracyjne, przechowywanie kluczy i dostęp do samych materiałów wideo. Samo zaszyfrowanie danych bez polityki rotacji i bez ewidencji wersji kluczy nie spełnia celu bezpieczeństwa operacyjnego.
Wyzwania i ograniczenia rotacji kluczy
Rotacja kluczy poprawia bezpieczeństwo, ale źle zaprojektowana może zwiększyć ryzyko utraty dostępności danych. Dotyczy to zwłaszcza archiwów wideo, które są duże, długo przechowywane i często podlegają obowiązkom dowodowym lub kontrolnym.
Najczęstsze problemy są następujące:
- brak mapowania, który plik został zaszyfrowany którym kluczem i w której wersji,
- niepełna rotacja obejmująca tylko system produkcyjny, bez kopii zapasowych i środowisk testowych,
- re-encryption wykonywany bez walidacji integralności plików po operacji,
- pozostawienie starych kluczy w aktywnym użyciu mimo formalnej rotacji,
- brak procedury awaryjnej dla materiałów istotnych z punktu widzenia audytu lub postępowania wyjaśniającego.
W środowisku przetwarzania obrazów trzeba też odróżniać ochronę danych od działania modeli AI. Model wykrywający twarze lub tablice rejestracyjne nie zastępuje kontroli kryptograficznych. Jeżeli materiał wejściowy jest przechowywany bez właściwej ochrony kluczy, samo zamazanie wykonane później nie eliminuje wcześniejszego ryzyka naruszenia poufności.
Znaczenie dla zgodności z RODO i bezpieczeństwa danych
RODO nie narzuca konkretnego algorytmu ani sztywnego harmonogramu rotacji kluczy, ale wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych. Kluczowe są tu art. 5 ust. 1 lit. f oraz art. 32 RODO, które odnoszą się do integralności, poufności i bezpieczeństwa przetwarzania. W praktyce rotacja kluczy jest jednym z mechanizmów realizujących te cele, szczególnie gdy organizacja przechowuje materiały przed anonimizacją.
Dla Inspektora Ochrony Danych ważne jest, aby polityka rotacji była udokumentowana i powiązana z analizą ryzyka. Powinna wskazywać co najmniej:
- jakie klasy danych obejmuje szyfrowanie,
- jakie typy kluczy są używane,
- kiedy następuje rotacja planowa i incydentalna,
- kto zatwierdza i wykonuje operację,
- jak dokumentowana jest wersja klucza oraz wynik operacji.
W systemach takich jak Gallio PRO rotacja kluczy dotyczy bezpieczeństwa środowiska przetwarzania i przechowywania plików. Nie zmienia faktu, że automatyczne wykrywanie odnosi się do twarzy i tablic rejestracyjnych, a inne elementy obrazu mogą wymagać pracy manualnej w edytorze. Z punktu widzenia ochrony prywatności oba obszary są komplementarne - anonimizacja ogranicza identyfikowalność w materiale, a rotacja kluczy ogranicza ryzyko nieuprawnionego dostępu do danych przed i po obróbce.