Wie erneuert man einen Schlüssel, der zwischen zwei verschiedenen Anwendungen für die Verschlüsselung/Entschlüsselung geteilt wird?

Question

Also ich habe 2 Anwendungen. Anwendung 1 wird einige Daten verschlüsseln und an Anwendung 2 senden.

Der Schlüssel wird in einem Azure-Schlüsseltresor gespeichert. Meine Frage ist, wie einen neuen Schlüssel zum Beispiel alle 6 Monate oder 1 Jahr rollen? Ich könnte eine Gnadenfrist von Anwendung 2 für 2 Minuten zulassen, um zum Beispiel sowohl den älteren als auch den neuen Schlüssel zu entschlüsseln.

Beachten Sie, dass diese 2 Anwendungen Cloud-Dienste sind, also mehr als 1 Maschine sind, und könnten hoch/runter skaliert werden.

Answer 1

Wie ich die Frage verstanden habe, müssen Sie verschlüsselte Daten von einer Anwendung senden und diese in einer anderen Anwendung mit dem gleichen Schlüssel entschlüsseln. Und der gespeicherte Schlüssel muss nach einer bestimmten Zeit, die in Azure Vault gespeichert ist, automatisch erneuert werden.

Während des Generierens des Schlüssels können Sie ein Tokem mit Ablaufdatum unter Verwendung von SAML oder anderen Technologien erstellen und in Vault speichern. Außerdem müssen Sie ein Programm schreiben, das Token erstellen kann und das Token ersetzen kann, sobald es im Tresor abgelaufen ist.

Es gibt viele Möglichkeiten, wie Sie es wie SAML tun können (https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language)

Sie können für Token Generation für die Verwendung von SAML meine git Repo schauen und verwenden. Es hat keine Token-Ersetzungslogik, aber Sie können das tun, sobald Sie eine Ausnahme sagen, dass das Token abgelaufen ist.

https://github.com/aniruddhadas9/docusign-saml-assertion-authentication