GH GambleHub

Ачкычтарды башкаруу жана ротация

Баскычтар - бул платформанын "ишеним тамыры". Ишенимдүү ачкычтарды башкаруу системасы (KMS/HSM + жараяндар + телеметрия) күнүмдүк иш үчүн бир жолку бириктирүү криптографияны айлантат: ачкычтар дайыма жаңыланып турат, аларды колдонуу ачык-айкын, компроматтар локализацияланат, ал эми кардарлар ачкычтын өзгөрүшүнө туш болушат.

1) Максаттары жана принциптери

Crypto agility: чоң көчүрүү жок ачкычтын алгоритмин/узундугун өзгөртүү мүмкүнчүлүгү.
Least exposure: жеке ачкычтар KMS/HSM калтырбайт; кол коюу/чечмелөө операциялары - өчүрүлгөн.
Short-lived artifacts: токендер/сессия ачкычтары жума эмес, мүнөт-саат жашайт.
Dual-key/Dual-cert терезелер: үзгүлтүксүз айлануу.
Regional & tenant isolation: ачкычтар региондор жана ижарачылар боюнча бөлүнөт.
Full auditability: өзгөрүлбөс иш журналы, HSM күбөлүк, жетүү контролдоо.

2) Ачкычтарды классификациялоо

Root (Root CA/Master Key): өтө сейрек пайдалануу, HSM сакталып, аралык ачкычтарды же data-key ороп чыгаруу үчүн колдонулат.
Операциялык: JWT/окуялардын кол тамгасы, TLS, вебхуктардын кол тамгасы, конфигурацияларды/PII шифрлөө.
Сессия/убактылуу: DPoP, mTLS-байланыш, канал/диалог үчүн ECDH-чыгаруу.
Интеграциялык: өнөктөштөрдүн ачкычтары (ачык) жана HMAC сырлары.
Data Keys (DEK): KEK астында envelope шифрлөөнү колдонушат, ачык сакталбайт.

3) Ачкычтарды аныктоо жана колдонуу саясаты

Ар бир ачкычта 'kid' бар (ачкыч токендерде/аталыштарда аныкталат): 
yaml key:
kid: "eu-core-es256-2025-10"
alg: "ES256"         # или EdDSA, RSA-PSS, AES-GCM, XChaCha20-Poly1305 purpose: ["jwt-sign","webhook-sign"]
scope: ["tenant:brand_eu","region:EE"]
status: "active"       # active      next      retiring      revoked created_at: "2025-10-15T08:00:00Z"
valid_to:  "2026-01-15T08:00:00Z"

Эрежелер: "бир максат - бир ачкыч" (минималдуу шаринг), айкын колдонуу чөйрөлөрү жана мөөнөттөрү.

4) Ачкычтын жашоо цикли (KMS/HSM)

1. Generate: экспорт саясаты менен HSM/KMS = тыюу салынган.
2. Publish: асимметрия үчүн - JWKS/күбөлүк менен 'kid'.
3. Use: алыскы иш (sign/decrypt) контролдук IAM менен.
4. Rotate: 'next' ачкычын ишке киргизүү жана кош-кабыл алуу.
5. Retire: которуу эски 'retiring', андан кийин 'revoked'.
6. Destroy: материал жок (purge протоколу менен) талаш терезеден кийин.

5) Айлануу: стратегиялар

Чегерилген: календардык (мисалы, JWT кол коюу үчүн ар бир 1-3 ай, TLS-сертификаттар үчүн 6-12 ай).
Rolling: керектөөчүлөрдүн акырындык менен которуу (JWKS мурунтан эле жаңы ачкычын камтыйт; эмиттер кэштер жылыгандан кийин жаңы кол коё баштайт).
Forced (security): компромиссте дароо айлануу; кыска терезе эки-кабыл алуу, экспонаттардын агрессивдүү мөөнөтү.
Staggered per region/tenant: бир эле учурда бүт дүйнөнү "кол чабуу" үчүн эмес.

Алтын эреже: адегенде жарыялоо, андан кийин жаңы кол коюу, ал эми мөөнөтү аяктагандан кийин гана - эскисин чакыртып алуу.

6) Dual-key терезе (үзгүлтүксүз өзгөртүү)

JWKS эски жана жаңы 'kid' менен жарыялайбыз.
Текшерүүчүлөр эки кабыл алат.
Эмиттер N мүнөт/саат жаңы кол баштайт.
Эски/жаңы 'kid' боюнча текшерүүлөрдүн үлүшүн көзөмөлдөйбүз.
Максаттуу үлүшкө жеткенде retairim эски.

yaml jwks:
keys:
- kid: "eu-core-es256-2025-10" # new alg: "ES256"
use: "sig"
crv: "P-256"
x: "<...>"; y: "<...>"
- kid: "eu-core-es256-2025-07" # old alg: "ES256"
use: "sig"
...

7) Кол коюу жана валидация саясаты

демейки алгоритмдер: кол коюу үчүн ES256/EdDSA; RSA-PSS талап кылынган жерде.
Тыюу 'none '/алсыз алгоритмдер; текшерүү тарабында whitelisting.
Clock skew: 300 c ± жол, четтөөлөрдү логикалык.
Key pinning (ички кызматтар) жана кыска TTL JWKS кэш (30-60 с).

8) Envelope-коддоо жана KDF

Маалыматтарды төмөнкүдөй сактаңыз: 

ciphertext = AEAD_Encrypt(DEK, plaintext, AAD=tenant    region    table    row_id)
DEK = KMS. Decrypt (KEK, EncryptedDEK )//on access
EncryptedDEK = KMS. Encrypt (KEK, DEK )//on write

KEK (Key Encryption Key) дайыма айланып, KMS/HSM сакталат.
DEK объект/партия үчүн түзүлөт; КЕКти ротациялоодо биз re-wrap (тез, маалыматтарды кайра шифрлебестен) аткарабыз.
Агымдар үчүн - ECDH + HKDF кыска каналдын ачкычтарын чыгаруу үчүн.

9) Регионалдуулук жана көп-тенант

Ачкычтар жана JWKS кайра региондук: 'eu-core', 'latam-core' - ачкычтардын ар кандай топтому.
tenant/аймак боюнча IAM/аудит бөлүштүрүү; ачкычтар резиденциялардын ортосунда "агып кетпейт".
'kid' ишеним домени префикси менен коддоңуз: 'eu-core-es256-2025-10'.

10) Интеграциянын сырлары (HMAC, API ачкычтары)

KMS-backed Secret Store дүкөнүндө сактоо, short-lived client secrets (rotation policy ≤ 90 күн) аркылуу чыгаруу.
Ротацияда эки активдүү сырды (эки-жашыруун) колдоо.
Webhooks үчүн - timestamp + HMAC кол дене; убакыт терезе ≤ 5 мүнөт.

11) Жеткиликтүүлүктү башкаруу жана процесстер

IAM матрицасы: ким алат 'generate', 'sign', 'decrypt', 'rotate', 'destroy' (минималдуу ролдор).
4-көз принцип: сезгич иш эки ырастоо талап кылынат.
Change Windows: Жаңы ачкычты жана тесттик канарейка аймактарын күйгүзүү терезелери.
Runbooks: scheduled жана forced айлануулар үчүн жол-жоболордун үлгүлөрү.

12) Байкоо жана аудит

Метрикасы:
  • `sign_p95_ms`, `decrypt_p95_ms`, `jwks_skew_ms`,
  • керектөө 'kid', 'old _ kid _ usage _ ratio',
  • `invalid_signature_rate`, `decrypt_failure_rate`.
Логи/Аудит:
  • Ар бир операция кол/чечмелөө: 'who/what/when/where/kid/purpose'.
  • Ачкычтардын статусу жана ротация/ревокация боюнча суроо-талаптардын тарыхы.
  • HSM аттестациясы, негизги материалдарга жетүү журналдары.

13) Playbook (окуялар)

1. Кол тамга ачкычын компромисске келтирүү

Дароо эски 'kid' revoke (же котормо 'retiring' минималдуу терезе менен), жаңы JWKS жарыялоо, кыскартылган TTL токендер, форс-logout/RT майып, байланыш интеграция ээлери, ретро аудит.

2. Массалык 'INVALID _ SIGNATURE' айлангандан кийин

Текшерүү JWKS кэш/саат skew, кош-кабыл кайтарып, терезени узартуу, кардарларга жөнөтүү.

3. KMS/HSM жашыруун өсүшү

Жергиликтүү кол тамга кэшин иштетүүгө болбойт; анын ордуна - эмиттерде batch/queue, autoscaling HSM прокси, критикалык агымдардын артыкчылыктуу.

4. Бир аймактан баш тартуу

Аймактык обочолонуу жол-жоболорун активдештирүү; башка аймактардан ачкычтарды "тартпаңыз"; кулаган аймактагы кол тамгаларга байланган функцияларды деградациялоо.

14) Сыноо

Contract: JWKS тууралыгы, туура 'kid '/alg/use, кардарлардын шайкештиги.
Negative: жасалма кол, эскирген 'kid', туура эмес alg, clock skew.
Chaos: заматта айлануу, KMS жеткиликсиздиги, "drift" убакыт.
Load: кол чокусу (JWT/webhooks), чечмелөө чокусу (PII/төлөмдөр).
E2E: dual-key терезе: чыгаруу - текшерүү - трафикти өткөрүп берүү - эскини четке кагуу.

15) Конфигурация үлгүсү (YAML)

yaml crypto:
regions:
- id: "eu-core"
jwks_url: "https://sts. eu/.well-known/jwks. json"
rotation:
jwt_sign: { interval_days: 30, window_dual: "48h" }
webhook: { interval_days: 60, window_dual: "72h" }
kek:   { interval_days: 90, action: "rewrap" }
alg_policy:
sign: ["ES256","EdDSA"]
tls: ["TLS1. 2+","ECDSA_P256"]
publish:
jwks_cache_ttl: "60s"
audit:
hsm_attestation_required: true two_person_rule: true

16) JWKS мисал жана экспонаттар маркерлер

JWT хедер үзүндүсү: 
json
{ "alg":"ES256", "kid":"eu-core-es256-2025-10", "typ":"JWT" }
JWKS (коомдук бөлүгү): 
json
{ "keys":[
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-10","x":"...","y":"..."},
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-07","x":"...","y":"..."}
]}

17) Анти-үлгүлөрү

Узак мөөнөттүү ачкычтар "жылдар бою" жана бардык региондор үчүн жалпы.
айлануу "бир учурда" эки-кабыл алуу жок.
Жеке ачкычтарды KMS/HSM "ылдамдык үчүн" экспорттоо.
милдеттерди аралаштыруу: бир ачкыч JWT кол жана маалыматтарды шифрлөө.
HSM жана IAM чектөөлөрдүн журналдары/аттестациялары жок.
KEK айлантууда DEK үчүн re-wrap механизми жок.
Кол менен "сырлар" env ордуна Secret Store.

18) Азык-түлүктүн алдындагы чек-тизме

  • Бардык жеке ачкычтар KMS/HSM; IAM-матрица жана 4-көз принцип орнотулган.
  • Алгоритмдердин саясаты, ачкычтардын узундугу жана жашоо мөөнөтү бекитилген.
  • 'kid' боюнча үлүштөрүн мониторинг менен кош-негизги жараянын камтыйт.
  • JWKS кыска TTL жана жылытуу кэш менен жарыяланган; кардарлар ≥ 2 ачкычтарды кабыл алат.
  • Envelope-шифрлөө: KEK ротацияланат, DEK кайра жабылат.
  • Аймактык изоляция жана тенанттар боюнча өзүнчө ачкыч топтомдору.
  • компромисске Playbook/Rolling/Force айлануу; машыгуу.
  • Метриктер ('old _ kid _ usage _ ratio', 'invalid _ signature _ rate') жана алерталар камтылган.
  • contract/negative/chaos/load/E2E тесттер топтому өттү.
  • Интеграциялоо үчүн документтер: 'kid' алмаштырууну кантип иштетүү керек, кандай терезелер жана ката коддору.

Корутунду

Ачкычтарды башкаруу - бул иш тартиби: KMS/HSM чындыктын булагы катары, үзгүлтүксүз жана коопсуз айлануу менен кош-негизги, аймактык жана тенанттык изоляция, envelope-шифрлөө жана байкоо жүргүзүү. Бул эрежелерди сактоо менен, сиз масштабдуу, окуяларга туруктуу жана аудиторго оңой түшүндүрүү үчүн крипто-контурду аласыз - жана иштеп чыгуучулар жана интеграторлор оорусуз ар кандай өзгөрүүлөргө дуушар болушат.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.