GH GambleHub

कुंजी प्रबंधन और घूर्णन

कीज़प्लेटफ़ॉर्म की "ट्रस्ट रूट्स" हैं। "एक विश्वसनीय कुंजी प्रबंधन प्रणाली (केएमएस/एचएसएम + प्रक्रियाएं + टेलीमेट्री) एक बार के एकीकरण से एक रोजमर्रा के ऑपरेशन में क्रिप्टोग्राफी को बदल देती है: कुंजियां नियमित रूप से अद्यतन होती हैं, उनका उपयोग पारदर्शी होता है।

1) लक्ष्य और सिद्धांत

क्रिप्टो चपलता: बड़े प्रवास के बिना एल्गोरिथ्म/कुंजी लंबाई को बदलने की क्षमता।

कम से कम एक्सपोज़र: निजी कुंजियाँ केएमएस/एचएसएम को नहीं छोड़ ती हैं; हस्ताक्षर/डिक्रिप्शन संचालन - हटा दिया।

अल्पकालिक कलाकृतियाँ: टोकन/सत्र कुंजियाँ मिनट-घंटे रहती हैं, सप्ताह नहीं।

दोहरी कुंजी/दोहरी प्रमाणित विंडो: असफल-सुरक्षित घूर्णन.

क्षेत्रीय और किरायेदार अलगाव: चाबियों को क्षेत्र और किरायेदार द्वारा विभाजित किया जाता है।

पूर्ण श्रवणता: अपरिवर्तनीय लेनदेन लॉग, एचएसएम योग्यता, एक्सेस नियंत्रण।

2) प्रमुख वर्गीकरण

रूट सीए/मास्टर कुंजी: एचएसएम में रखा गया अत्यंत दुर्लभ उपयोग, मध्यवर्ती कुंजी या डेटा-कुंजी रैपर जारी करने के लिए उपयोग किया जाता है।

ऑपरेटिंग: JWT/इवेंट सिग्नेचर, TLS, वेबहुक हस्ताक्षर, कॉन्फिग एन्क्रिप्शन/PII।

सत्र/समय: डीपीओपी, एमटीएलएस-बाइंडिंग, चैनल/संवाद के लिए ईसीडीएच-आउटपुट।

एकीकरण: पार्टनर कुंजी (सार्वजनिक) और एचएमएसी रहस्य।

डेटा कुंजी (DEK): KEK के तहत लिफाफा एन्क्रिप्शन का उपयोग करें, स्पष्ट रूप से संग्रहीत नहीं हैं।

3) प्रमुख पहचान और उपयोग नीति

प्रत्येक कुंजी में एक 'बच्चा' होता है (कुंजी को टोकन/हेडर में पहचाना जाता है): 
yaml key:
kid: "eu-core-es256-2025-10"
alg: "ES256"         # или EdDSA, RSA-PSS, AES-GCM, XChaCha20-Poly1305 purpose: ["jwt-sign","webhook-sign"]
scope: ["tenant:brand_eu","region:EE"]
status: "active"       # active      next      retiring      revoked created_at: "2025-10-15T08:00:00Z"
valid_to:  "2026-01-15T08:00:00Z"

नियम: "एक लक्ष्य - एक कुंजी" (न्यूनतम साझाकरण), आवेदन और समय के स्पष्ट क्षेत्र।

4) प्रमुख जीवनचक्र (KMS/HSM)

1. उत्पन्न करें: HSM/KMS में, निर्यात नीति = अस्वीकृत के साथ.

2. प्रकाशित: विषमता के लिए - JWKS/' बच्चे 'के साथ प्रमाणपत्र।

3. उपयोग: नियंत्रित IAM के साथ दूरस्थ संचालन (साइन/डिक्रिप्ट)।

4. घुमाएँ: 'next' कुंजी चलाएँ और दोहरी स्वीकार्यता सक्षम करें.

5. सेवानिवृत्त: पुराने को 'सेवानिवृत्त' में अनुवाद करें, फिर 'निरस्त' करें।

6. नष्ट करें: विवाद खिड़की के बाद सामग्री (पर्ज प्रोटोकॉल के साथ) को नष्ट करें।

5) रोटेशन: रणनीतियाँ

अनुसूचित: कैलेंडर (उदाहरण के लिए, JWT हस्ताक्षर के लिए हर 1-3 महीने, TLS-serts के लिए 6-12 महीने)।

रोलिंग: धीरे-धीरे उपभोक्ताओं को स्विच करना (JWKS में पहले से ही एक नई कुंजी है; कैश को गर्म करने के बाद एमिटर नए हस्ताक्षर करना शुरू कर देता है)।

जबरन (सुरक्षा): समझौता करने पर तत्काल रोटेशन; छोटी दोहरी स्वीकार खिड़की, कलाकृतियों की आक्रामक समाप्ति।

प्रति क्षेत्र/किरायेदार कंपित: ताकि एक ही समय में पूरी दुनिया को "ताली" न बजाएं।

सुनहरा नियम: पहले प्रकाशन, फिर हस्ताक्षर नया है, और केवल समाप्ति के बाद - पुराने की याद।

6) दोहरी कुंजी विंडो

हम पुराने और नए 'बच्चे' के साथ JWKS प्रकाशित करते हैं।

Verifiers दोनों स्वीकार करते हैं

एन मिनट/घंटे में एमिटर नए हस्ताक्षर करना शुरू कर देता है।

हम पुराने/नए 'बच्चे' पर चेक के हिस्से की निगरानी करते हैं।

लक्ष्य शेयर तक पहुंचने पर, रेट्रीम पुराना है।

yaml jwks:
keys:
- kid: "eu-core-es256-2025-10" # new alg: "ES256"
use: "sig"
crv: "P-256"
x: "<...>"; y: "<...>"
- kid: "eu-core-es256-2025-07" # old alg: "ES256"
use: "sig"
...

7) हस्ताक्षर और मान्यता नीतियां

डिफ़ॉल्ट एल्गोरिदम: हस्ताक्षर ES256/EdDSA; आरएसए-पीएसएस जहां आवश्यक हो।

'नोन '/कमजोर एल्गोरिदम का निषेध; सत्यापन पक्ष पर व्हाइटलिस्टिंग।

घड़ी तिरछा: हम 300 c, लॉग विचलन की अनुमति देते हैं।

मुख्य पिनिंग (आंतरिक सेवाएं) और एक छोटा टीटीएल जेडब्ल्यूकेएस कैश (30-60 एस)।

8) लिफाफा एन्क्रिप्शन और केडीएफ

इस तरह डाटा संग्रहीत करें: 

ciphertext = AEAD_Encrypt(DEK, plaintext, AAD=tenant    region    table    row_id)
DEK = KMS. Decrypt (KEK, EncryptedDEK )//on access
EncryptedDEK = KMS. Encrypt (KEK, DEK )//on write

KEK (कुंजी गोपन कुंजी) KMS/HSM में संग्रहीत है, नियमित रूप से घुमाया जाता है।

डीईके प्रति ऑब्जेक्ट/बैच बनाया गया है; केईके को घुमाते समय, हम री-रैप करते हैं (जल्दी से, डेटा री-एन्क्रिप्शन के बिना)।

धाराओं के लिए - ईसीडीएच + एचकेडीएफ अल्पकालिक चैनल कुंजियों को आउटपुट करने के लिए।

9) क्षेत्रीयता और बहु-किरायेदार

कीज़और JWKS क्षेत्रीय हैं: 'यूरोपीय संघ-कोर', 'लैटम-कोर' चाबियों के विभिन्न सेट हैं।

किरायेदार/क्षेत्र द्वारा आईएएम/लेखा परीक्षा का पृथक्करण; आवासों के बीच कुंजियाँ "प्रवाह" नहीं करती हैं।

ट्रस्ट डोमेन उपसर्ग के साथ 'किड' कोड: 'यूरोपीय संघ-कोर-es256-2025-10'।

10) एकीकरण रहस्य (HMAC, API कुंजी)

केएमएस समर्थित सीक्रेट स्टोर में स्टोर करें, अल्पकालिक ग्राहक रहस्यों (रोटेशन नीति ≤ 90 दिनों) के माध्यम से जारी करें।

रोटेशन के दौरान दो सक्रिय रहस्यों (दोहरे गुप्त) के लिए समर्थन।

वेबहुक के लिए - टाइमस्टैम्प + एचएमएसी बॉडी सिग्नेचर; समय खिड़की ≤ 5 मिनट।

11) पहुंच नियंत्रण और प्रक्रियाएं

आईएएम मैट्रिक्स: जो 'उत्पन्न', 'साइन', 'डिक्रिप्ट', 'घुमाएं', 'नष्ट करें' (न्यूनतम भूमिकाएं) कर सकते हैं।

4-आंख सिद्धांत: संवेदनशील संचालन के लिए दो पुष्टि की आवश्यक

विंडो बदलें: नई कुंजी और परीक्षण कैनरी क्षेत्रों को सक्षम करने के लिए विंडो।

रनबुक: निर्धारित और मजबूर घूर्णन के लिए प्रक्रिया टेम्पलेट।

12) अवलोकन और लेखा परीक्षा

मेट्रिक्स:
  • 'sign _ p95 _ ms', 'decrypt _ p95 _ ms', 'jwks _ skew _ ms',
  • 'किड', 'ओल्ड _ kid _ usage _ ratio' द्वारा खपत,
  • 'invalid _ signature _ rate', 'decrypt _ filst _ rate'।
लॉग/लेखा परीक्षा:
  • प्रत्येक हस्ताक्षर/डिक्रिप्शन ऑपरेशन 'कौन/क्या/कब/कहां/बच्चा/उद्देश्य' है।
  • मुख्य स्थिति और रोटेशन/निरसन अनुरोधों का इतिहास।
  • एचएसएम योग्यता, प्रमुख सामग्री एक्सेस लॉग।

13) प्लेबुक (घटनाएं)

1. हस्ताक्षर कुंजी समझौता

पुराने 'बच्चे' का तत्काल निरस्त (या एक न्यूनतम खिड़की के साथ 'सेवानिवृत्त' में अनुवाद), एक नई JWKS का प्रकाशन, TTL टोकन, बल लॉगआउट/आरटी विकलांगता, एकीकरण के लिए संचार, रेट्रो ऑडिट।

2. मास 'INVALID _ SIGNATURE' AFTER रोटेशन

JWKS/घड़ीतिरछा कैश की जाँच करें, दोहरी स्वीकृति दें, विंडो का विस्तार करें, ग्राहकों को वितरित करें।

3. केएमएस/एचएसएम विलंबता में वृद्धि

स्थानीय हस्ताक्षर कैश सक्षम करने की अनुमति नहीं है; इसके बजाय - उत्सर्जन पर बैच/कतार, एचएसएम प्रॉक्सी को स्वचालित करना, महत्वपूर्ण धाराओं को प्राथमिकता देना।

4. एक क्षेत्र की विफलता

क्षेत्रीय अलगाव प्रक्रियाओं को सक्रिय अन्य क्षेत्रों से "पुल" कुंजी न करें; गिरे हुए क्षेत्र में हस्ताक्षर से बंधे अपमानजनक कार्य।

14) परीक्षण

अनुबंध: JWKS शुद्धता, सही 'बच्चा '/alg/use, ग्राहक संगतता।

नकारात्मक: नकली हस्ताक्षर, अप्रचलित 'बच्चा', गलत एल्ग, घड़ी तिरछा।

अराजकता: तत्काल रोटेशन, केएमएस अनुपलब्धता, समय बहाव।

लोड: पीक सिग्नेचर (JWT/वेबहूक), पीक डिक्रिप्शन (PII/पेआउट)।

E2E: दोहरी कुंजी खिड़की: रिलीज - सत्यापन - यातायात हस्तांतरण - पुराने की अस्वीकृति।

15) कॉन्फ़िगरेशन उदाहरण (YAML)

yaml crypto:
regions:
- id: "eu-core"
jwks_url: "https://sts. eu/.well-known/jwks. json"
rotation:
jwt_sign: { interval_days: 30, window_dual: "48h" }
webhook: { interval_days: 60, window_dual: "72h" }
kek:   { interval_days: 90, action: "rewrap" }
alg_policy:
sign: ["ES256","EdDSA"]
tls: ["TLS1. 2+","ECDSA_P256"]
publish:
jwks_cache_ttl: "60s"
audit:
hsm_attestation_required: true two_person_rule: true

16) कलाकृतियों में JWKS और मार्कर का उदाहरण

JWT हेडर टुकड़ा: 
json
{ "alg":"ES256", "kid":"eu-core-es256-2025-10", "typ":"JWT" }
JWKS (सार्वजनिक भाग): 
json
{ "keys":[
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-10","x":"...","y":"..."},
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-07","x":"...","y":"..."}
]}

17) एंटी-पैटर्न

लंबे समय तक रहने वाली कुंजी "वर्षों के लिए" और सभी क्षेत्रों के लिए आम है।

दोहरे स्वीकार के बिना "एक पल में" रोटेशन।

केएमएस/एचएसएम से निजी कुंजी निर्यात करें "गति के लिए।"

मिक्सिंग कार्य: JWT पर हस्ताक्षर करें और एक कुंजी के साथ डेटा एन्क्रिप्ट करें।

एचएसएम लॉग/योग्यता और आईएएम प्रतिबंध की अनुपस्थिति।

KEK रोटेशन में DEK के लिए कोई री-रैप तंत्र नहीं है।

सीक्रेट स्टोर के बजाय एनवी में मैनुअल "रहस्य"।

18) प्री-सेल चेकलिस्ट

  • केएमएस/एचएसएम में सभी निजी कुंजियाँ; आईएएम मैट्रिक्स और 4-आंख सिद्धांत को ट्यून किया गया है।
  • एल्गोरिथ्म नीतियां, प्रमुख लंबाई और जीवनकाल अनुमोदित हैं।
  • 'बच्चे' शेयर निगरानी के साथ दोहरी कुंजी प्रक्रिया सक्षम।
  • JWKS लघु TTL और कैश वार्मिंग के साथ प्रकाशित होता है; ग्राहक कुंजी स्वीकार करते हैं।
  • लिफाफा एन्क्रिप्शन: केईके घूमता है, डीईके डाउनटाइम के बिना फिर से लपेटता है।
  • किरायेदारों द्वारा क्षेत्रीय अलगाव और अलग प्रमुख सेट
  • समझौता/रोलिंग/बल रोटेशन प्लेबुक; प्रशिक्षण रन।
  • मेट्रिक्स ('ओल्ड _ किड _ usage _ ratio', 'अवैध _ signature _ rate') और अलर्ट सक्षम हैं।
  • contract/negative/chaos/load/E2E परीक्षण सूट पास हुआ।
  • एकीकरण के लिए प्रलेखन: 'किड' शिफ्ट को कैसे संभालें, कौन से विंडो और त्रुटि कोड।

निष्कर्ष

प्रमुख प्रबंधन एक परिचालन अनुशासन है: केएमएस/एचएसएम सत्य के स्रोत के रूप में, दोहरी कुंजी, क्षेत्रीय और किरायेदार अलगाव, लिफाफा एन्क्रिप्शन और अवलोकन के साथ नियमित और सुरक्षित घूर्णन। इन नियमों का पालन करके, आपको एक क्रिप्टो समोच्च मिलता है जो तराजू है, घटना-प्रतिरोधी है और ऑडिटर को समझाने में आसान है - और डेवलपर्स और इंटीग्रेटर बिना दर्द के किसी भी बदलाव का अनुभव करते हैं।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।