GH GambleHub

Açarların idarə edilməsi və rotasiya

Açarlar platformanın «etimad kökləridir». Etibarlı açar idarəetmə sistemi (KMS/HSM + proseslər + telemetriya) kriptoqrafiyanı birdəfəlik inteqrasiyadan gündəlik əməliyyata çevirir: açarlar müntəzəm olaraq yenilənir, onların istifadəsi şəffafdır, güzəştlər lokallaşdırılır və müştərilər açar dəyişikliyini dayandırmadan yaşayırlar.

1) Məqsədlər və prinsiplər

Crypto agility: böyük miqrasiyalar olmadan alqoritm/açar uzunluğu dəyişdirmək imkanı.
Least exposure: Şəxsi açarlar KMS/HSM-dən ayrılmır; imza/deşifrə əməliyyatları - silinmiş.
Short-lived artifacts: tokenlər/seans açarları həftələr deyil, dəqiqə-saat yaşayır.
Dual-key/Dual-cert pəncərələr: sorunsuz rotasiya.
Regional & tenant isolation: açarları bölgələr və kirayəçilər bölünür.
Full auditability: dəyişməz əməliyyat jurnalı, HSM sertifikatlaşdırma, giriş nəzarəti.

2) Açarların təsnifatı

Kök (Root CA/Master Key): çox nadir istifadə, HSM-də saxlanılır, aralıq açarları və ya data-key sarğılarını buraxmaq üçün istifadə olunur.
Əməliyyat: JWT/hadisə imzası, TLS, vebhuk imzası, konfiqurasiya/PII şifrələmə.
Sessiya/müvəqqəti: DPoP, mTLS-binding, kanal/dialoq üçün ECDH-çıxış.
İnteqrasiya: tərəfdaşların açarları (açıq) və HMAC sirləri.
Data Keys (DEK): KEK altında envelope şifrələmədən istifadə edin, açıq şəkildə saxlanılmır.

3) Açarların identifikasiyası və istifadə siyasəti

Hər bir açarın 'kid' var (açar tokenlərdə/başlıqlarda müəyyən edilir): 
yaml key:
kid: "eu-core-es256-2025-10"
alg: "ES256"         # или EdDSA, RSA-PSS, AES-GCM, XChaCha20-Poly1305 purpose: ["jwt-sign","webhook-sign"]
scope: ["tenant:brand_eu","region:EE"]
status: "active"       # active      next      retiring      revoked created_at: "2025-10-15T08:00:00Z"
valid_to:  "2026-01-15T08:00:00Z"

Qaydalar: «bir məqsəd - bir açar» (minimum paylaşma), aydın tətbiq sahələri və şərtlər.

4) Açarın həyat dövrü (KMS/HSM)

1. Generate: HSM/KMS-də, ixrac siyasəti ilə = qadağandır.
2. Publish: asimmetriya üçün - JWKS/' kid 'sertifikatı.
3. Use: nəzarət IAM ilə uzaqdan əməliyyatlar (sign/decrypt).
4. Rotate: 'next' açarını işə salın və dual-accept-i işə salın.
5. Retire: köhnə tərcümə 'retiring', sonra 'revoked'.
6. Destroy: mübahisə pəncərəsi sonra material (purge protokolu ilə) məhv.

5) Rotasiya: strategiyalar

Scheduled: təqvim (məsələn, JWT imzası üçün hər 1-3 ay, TLS sertləri üçün 6-12 ay).
Rolling: tədricən istehlakçı keçid (JWKS artıq yeni açar var; emitter caches qızdırıldıqdan sonra yeni imzalamağa başlayır).
Forced (security): kompromasiya zamanı dərhal rotasiya; qısa pəncərə dual-accept, artefaktların aqressiv axını.
Staggered per region/tenant: bütün dünyanı eyni anda «çırpmamaq» üçün.

Qızıl qayda: əvvəlcə nəşr, sonra yeni imza, yalnız sona çatdıqdan sonra - köhnəsinin geri çağırılması.

6) Dual-key pəncərə (fasiləsiz növbə)

JWKS-i köhnə və yeni 'kid' ilə dərc edirik.
Yoxlayıcılar hər ikisi qəbul.
Emitter N dəqiqə/saat sonra yeni imza başlayır.
Köhnə/yeni 'kid' üzrə yoxlamaların payını izləyirik.
Hədəf payına çatdıqda retayrim köhnədir.

yaml jwks:
keys:
- kid: "eu-core-es256-2025-10" # new alg: "ES256"
use: "sig"
crv: "P-256"
x: "<...>"; y: "<...>"
- kid: "eu-core-es256-2025-07" # old alg: "ES256"
use: "sig"
...

7) İmza və validasiya siyasəti

Default alqoritmlər: imza üçün ES256/EdDSA; RSA-PSS lazım olduğu yerdə.
'none '/zəif alqoritmlərin qadağan edilməsi; yoxlama tərəfində whitelisting.
Clock skew: 300 c ± icazə veririk, sapmaları loglaşdırırıq.
Key pinning (daxili xidmətlər) və qısa TTL JWKS cache (30-60 s).

8) Envelope-şifrələmə və KDF

Məlumatları belə saxlayın: 

ciphertext = AEAD_Encrypt(DEK, plaintext, AAD=tenant    region    table    row_id)
DEK = KMS. Decrypt (KEK, EncryptedDEK )//on access
EncryptedDEK = KMS. Encrypt (KEK, DEK )//on write

KEK (Key Encryption Key) KMS/HSM-də saxlanılır, mütəmadi olaraq fırlanır.
DEK obyekt/partiya üçün yaradılır; KEK-in rotasiyası zamanı re-wrap (tez, məlumatların yenidən şifrələnməsi olmadan) həyata keçiririk.
Axınlar üçün - ECDH + HKDF kanalın qısamüddətli açarlarını çıxarmaq üçün.

9) Regionallıq və multi-tenant

Açarlar və JWKS yenidən regionaldır: 'eu-core', 'latam-core' - müxtəlif açar dəstləri.
tenant/region üzrə IAM/audit bölgüsü; açarlar yaşayış yerləri arasında «axmır».
'kid' etibarlı domen prefiksi ilə kodlayın: 'eu-core-es256-2025-10'.

10) İnteqrasiya sirləri (HMAC, API açarları)

KMS-backed Secret Store-da saxlayın, qısa ömürlü client secrets (rotation policy ≤ 90 gün) vasitəsilə verilir.
Rotasiya zamanı iki aktiv sirri (dual-secret) dəstəkləyir.
Webhook üçün - timestamp + HMAC bədən imzası; vaxt pəncərəsi ≤ 5 dəqiqə.

11) Access Management və proseslər

IAM matrisi: kim 'generate', 'sign', 'decrypt', 'rotate', 'destroy' (minimum rol) edə bilər.
4-göz prinsipi: həssas əməliyyatlar iki təsdiq tələb edir.
Change windows: yeni açar pəncərələri və test kanarya bölgələri.
Runbooks: scheduled və forced rotasiyalar üçün prosedur şablonları.

12) Müşahidə və audit

Metriklər:
  • `sign_p95_ms`, `decrypt_p95_ms`, `jwks_skew_ms`,
  • 'kid', 'old _ kid _ usage _ ratio',
  • `invalid_signature_rate`, `decrypt_failure_rate`.
Log/Audit:
  • Hər imza/dekodlama əməliyyatı: 'who/what/when/where/kid/purpose'.
  • Açar statuslarının və rotasiya/revokasiya sorğularının tarixi.
  • HSM sertifikatlaşdırma, əsas materiallara giriş jurnalları.

13) Playbook (hadisələr)

1. İmza açarının güzəşti

Dərhal köhnə 'kid' revoke (və ya tərcümə 'retiring' minimum pəncərə ilə), yeni JWKS nəşr, qısaldılmış TTL tokenləri, fors-logout/RT əlil, inteqrasiya sahibləri rabitə, retro audit.

2. Rotasiyadan sonra kütləvi 'INVALID _ SIGNATURE'

JWKS/clock skew cache yoxlamaq, iki-accept qaytarmaq, pəncərə uzatmaq, müştərilərə göndərmək.

3. KMS/HSM gecikmə artımı

Yerli imza cache daxil edilməlidir; əvəzində - emitter batch/queue, autoscaling HSM proxy, kritik axınlar prioritet.

4. Bir regionun rədd edilməsi

Regional təcrid prosedurlarını aktivləşdirmək; digər bölgələrdən açarları «çəkməyin»; düşmüş bölgədə imzalara bağlı funksiyaları deqradasiya.

14) Test

Contract: JWKS düzgünlüyü, düzgün 'kid '/alg/use, müştəri uyğunluğu.
Negative: saxta imza, köhnəlmiş 'kid', səhv alg, clock skew.
Chaos: ani rotasiya, KMS əlçatmazlığı, «sürüklənmə» vaxtı.
Yükləmə: imzaların zirvəsi (JWT/webhooks), transkriptlərin zirvəsi (PII/ödənişlər).
E2E: dual-key pəncərə: buraxılış - yoxlama - trafikin köçürülməsi - köhnənin rədd edilməsi.

15) Konfiqurasiya nümunəsi (YAML)

yaml crypto:
regions:
- id: "eu-core"
jwks_url: "https://sts. eu/.well-known/jwks. json"
rotation:
jwt_sign: { interval_days: 30, window_dual: "48h" }
webhook: { interval_days: 60, window_dual: "72h" }
kek:   { interval_days: 90, action: "rewrap" }
alg_policy:
sign: ["ES256","EdDSA"]
tls: ["TLS1. 2+","ECDSA_P256"]
publish:
jwks_cache_ttl: "60s"
audit:
hsm_attestation_required: true two_person_rule: true

16) Artefaktlarda JWKS və markerlərin nümunəsi

JWT heder fraqmenti: 
json
{ "alg":"ES256", "kid":"eu-core-es256-2025-10", "typ":"JWT" }
JWKS (ictimai hissə): 
json
{ "keys":[
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-10","x":"...","y":"..."},
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-07","x":"...","y":"..."}
]}

17) Anti-nümunələr

Uzun ömürlü açarlar «illər üçün» və bütün bölgələr üçün ümumi.
Dual-accept olmadan «bir anda» rotasiya.
KMS/HSM-dən xüsusi açarların ixracı «sürət üçün».
Tapşırıqların qarışdırılması: bir açar JWT imzalayın və məlumatları şifrələyin.
Jurnalların olmaması/HSM və IAM məhdudiyyətlərinin sertifikatlaşdırılması.
KEK rotasiyası zamanı DEK üçün re-wrap mexanizmi yoxdur.
Secret Store əvəzinə env əl «sirləri».

18) Satış öncəsi yoxlama siyahısı

  • KMS/HSM-də bütün xüsusi açarlar; IAM matrisi və 4 gözlü prinsip konfiqurasiya edilmişdir.
  • Alqoritm siyasəti, açar uzunluğu və həyat müddəti təsdiq edilmişdir.
  • 'kid' üzrə payların monitorinqi ilə dual-key prosesi aktivdir.
  • JWKS qısa TTL və caches isitmə ilə nəşr olunur; müştərilər ≥ 2 açar qəbul.
  • Envelope-şifrələmə: KEK rotasiya, DEK fasiləsiz re-wrap.
  • Regional təcrid və ayrı-ayrı tenant açar dəstləri.
  • Kompromasiya/rolling/fors rotasiya üçün playbook; təlim qaçışları.
  • Metriklər ('old _ kid _ usage _ ratio', 'invalid _ signature _ rate') və alertlər daxildir.
  • contract/negative/chaos/load/E2E testlərin dəsti keçdi.
  • İnteqrasiya sənədləri: 'kid' dəyişikliyini necə idarə etmək olar, hansı pəncərələr və səhv kodları.

Nəticə

Açar idarəetməsi əməliyyat intizamıdır: həqiqət mənbəyi kimi KMS/HSM, dual-key ilə müntəzəm və təhlükəsiz rotasiya, regional və tenant təcrid, envelope-şifrələmə və müşahidə. Bu qaydalara əməl edərək, siz miqyaslı, hadisələrə davamlı və auditora asanlıqla izah edilə bilən bir kriptokontur əldə edirsiniz - və tərtibatçılar və inteqratorlar ağrısız hər hansı bir dəyişiklik yaşayırlar.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.