GH GambleHub

Идоракунии калидҳо ва гардиш

Калидҳо "решаҳои эътимод ба платформа мебошанд. "Системаи боэътимоди идоракунии калидҳо (KMS/HSM + равандҳо + телеметрия) криптографияро аз ҳамгироии якдафъаина ба кори ҳамарӯза табдил медиҳад: калидҳо мунтазам нав карда мешаванд, истифодаи онҳо шаффоф аст, созишҳо локализатсия карда мешаванд ва муштариён тағироти калидиро аз сар мегузаронанд. вақти корӣ.

1) Ҳадафҳо ва принсипҳо

Қобилияти крипто: қобилияти тағир додани алгоритм/дарозии калид бидуни муҳоҷирати калон.
Камтарин таъсир: калидҳои хусусӣ KMS/HSM-ро тарк намекунанд; амалиёти имзо/рамзкушоӣ - нест карда шуд.
Артефактҳои кӯтоҳмуддат: Токенҳо/калидҳои сессия дақиқаҳо, на ҳафтаҳо зиндагӣ мекунанд.
Тирезаҳои дугона/дугона-сертификат: гардиши бехатар.
Ҷудокунии минтақавӣ ва иҷорагир: калидҳо аз рӯи минтақа ва иҷорагир тақсим карда мешаванд.
Аудити пурра: сабти тағйирнопазири транзаксия, тахассуси HSM, назорати дастрасӣ.

2) Таснифи калидҳо

Калиди решавӣ CA/Master: истифодаи бениҳоят нодир, ки дар HSM нигоҳ дошта мешавад, барои баровардани калидҳои фосилавӣ ё парпечҳои калидӣ истифода мешавад.
Амалиёт: имзои JWT/ҳодиса, TLS, имзои webhook, рамзгузории конфигуратсия/PII.

Сессия/вақт: DP jo

Интегратсия: Сирри калидҳои шарик (оммавӣ) ва HMAC.
Калидҳои маълумот (DEK): рамзгузории лифофаро дар зери KEK истифода баред, ба таври возеҳ нигоҳ дошта намешаванд.

3) Сиёсати муайянсозӣ ва истифодаи калидӣ

Ҳар як калид 'кӯдак' дорад (калид дар нишонаҳо/сарлавҳаҳо муайян карда шудааст): 
yaml key:
kid: "eu-core-es256-2025-10"
alg: "ES256"         # или EdDSA, RSA-PSS, AES-GCM, XChaCha20-Poly1305 purpose: ["jwt-sign","webhook-sign"]
scope: ["tenant:brand_eu","region:EE"]
status: "active"       # active      next      retiring      revoked created_at: "2025-10-15T08:00:00Z"
valid_to:  "2026-01-15T08:00:00Z"

Қоидаҳо: "як ҳадаф - як калид" (мубодилаи ҳадди аққал), соҳаҳои возеҳи татбиқ ва вақт.

4) Давраи калидӣ (KMS/HSM)

1. Тавлид: дар HSM/KMS, бо сиёсати содирот = рад карда мешавад.
2. Нашр кунед: барои асимметрия - JWKS/шаҳодатнома бо 'кӯдак'.
3. Истифода: амалиёти дурдаст (имзо/рамзкушоӣ) бо IAM-и идорашаванда.
4. Гардиш: калиди 'next' -ро иҷро кунед ва қабули дугонаро фаъол созед.
5. Ба нафақа баромадан: кӯҳнаро ба "истеъфо" тарҷума кунед, сипас "бозхонд" кунед.
6. Нобуд кардан: нобуд кардани мавод (бо протоколи тозакунӣ) пас аз тирезаи баҳс.

5) Гардиш: Стратегияҳо

Нақша: тақвим (масалан, ҳар 1-3 моҳ барои имзои JWT, 6-12 моҳ барои TLS-serts).
Роллинг: тадриҷан иваз кардани истеъмолкунандагон (JWKS аллакай калиди нав дорад; эмитент пас аз гарм кардани кэшҳо ба имзо мерасад).
Маҷбурӣ (амният): гардиши фаврӣ ҳангоми гузашт; равзанаи кӯтоҳмуддати қабули дугона, мӯҳлати хашмгинонаи артефактҳо.
Ба ҳар як минтақа/иҷорагир ҳайратангез: то ки дар як вақт тамоми ҷаҳонро "чаппа накунед".

Қоидаи тиллоӣ: аввал нашрия, баъд имзо нав аст ва танҳо пас аз ба охир расидани мӯҳлат - бозхонди кӯҳна.

6) Тирезаи калиди дугона

Мо JWKS-ро бо 'кӯдаки' кӯҳна ва нав нашр мекунем.
Санҷишгарон ҳардуро қабул мекунанд.
Эмитент дар дақиқаҳо/соатҳо имзои навро оғоз мекунад.
Мо ҳиссаи чекҳоро дар 'кӯдаки' кӯҳна/нав назорат мекунем.
Ҳангоми расидан ба ҳиссаи ҳадаф, ретирим кӯҳна аст.

yaml jwks:
keys:
- kid: "eu-core-es256-2025-10" # new alg: "ES256"
use: "sig"
crv: "P-256"
x: "<...>"; y: "<...>"
- kid: "eu-core-es256-2025-07" # old alg: "ES256"
use: "sig"
...

7) Сиёсати имзо ва тасдиқкунӣ

Алгоритмҳои пешфарз: имзои ES256/EdDSA; RSA-PSS дар ҷое ки лозим аст.
Манъи алгоритмҳои 'none '/заиф; whitelisting дар тарафи тафтиш.
Ковокии соат: мо ба ± 300 c, инҳироф сабт мекунем.
Пинҳон кардани калидҳо (хадамоти дохилӣ) ва кэши кӯтоҳи TTL JWKS (30-60 с).

8) Рамзгузории лифофа ва KDF

Нигоҳ доштани чунин маълумот: 

ciphertext = AEAD_Encrypt(DEK, plaintext, AAD=tenant    region    table    row_id)
DEK = KMS. Decrypt (KEK, EncryptedDEK )//on access
EncryptedDEK = KMS. Encrypt (KEK, DEK )//on write

KEK (Калиди рамзгузории калидҳо) дар KMS/HSM нигоҳ дошта мешавад, мунтазам чарх мезанад.
DEK барои як объект/партия сохта мешавад; ҳангоми гардиши KEK, мо дубора печонданро анҷом медиҳем (зуд, бе рамзгузории маълумот).
Барои ҷараёнҳо - ECDH + HKDF барои баровардани калидҳои кӯтоҳмуддати канал.

9) Минтақа ва иҷорагир

Калидҳо ва JWKS минтақавӣ мебошанд: 'eu-core', 'latam-core' маҷмӯи гуногуни калидҳо мебошанд.
Ҷудосозии IAM/аудит аз ҷониби иҷорагир/минтақа; калидҳо дар байни истиқоматҳо "ҷараён надоранд".
'код' бо префикси домени эътимод: 'eu-core-es256-2025-10'.

10) Сирри ҳамгироӣ (HMAC, калидҳои API)

Дар мағозаи махфии KMS, ки аз ҷониби KMS дастгирӣ карда мешавад, тавассути сирри кӯтоҳмуддати муштариён бароварда мешавад (сиёсати гардиш ≤ 90 рӯз).
Дастгирии ду сирри фаъол (дугона-махфӣ) ҳангоми гардиш.
Барои webhooks - имзои бадан + HMAC; равзанаи вақт ≤ 5 дақ.

11) Назорат ва равандҳои дастрасӣ

Матритсаи IAM: кӣ метавонад 'тавлид кунад', 'аломат', 'рамзкушоӣ', 'гардиш', 'нобуд' (нақшҳои ҳадди аққал).
Принсипи 4-чашм: амалиёти ҳассос ду тасдиқро талаб мекунад.
Тағйир додани тирезаҳо: тирезаҳо барои даргиронидани калиди нав ва санҷидани минтақаҳои канарӣ.
Китобҳои корӣ: қолибҳои тартибӣ барои ротатсияи нақшавӣ ва маҷбурӣ.

12) Мушоҳида ва аудит

Нишондиҳандаҳо:
  • 'sign _ p95 _ ms', 'рамзкушоӣ _ p95 _ ms', 'jwks _ skew _ ms',
  • истеъмол аз ҷониби 'кӯдак', 'old _ kid _ usage _ таносуб',
  • 'invalid _ signature _ rate', 'рамзкушоӣ _ нокомӣ _ rate'.
Гузоришҳо/Аудит:
  • Ҳар як амали имзо/рамзкушоӣ 'кӣ/чӣ/вақте/дар куҷо/кӯдак/мақсад' мебошад.
  • Таърихи ҳолати асосӣ ва дархостҳои гардиш/бекоркунӣ.
  • Тахассуси HSM, сабтҳои дастрасӣ ба маводҳои асосӣ.

13) Китобҳои бозӣ (ҳодисаҳо)

1. Компромиссияи калиди имзо

Фавран бекор кардани 'кӯдаки' кӯҳна (ё тарҷума ба 'истеъфо' бо равзанаи ҳадди аққал), нашри JWKS нав, нишонаҳои кӯтоҳшудаи TTL, вуруд/маъюбии ҶТ, иртибот бо соҳибони ҳамгироӣ, аудити ретро.

2. Ротатсияи Mass 'INVALID _ SIGNATURE' after

Кэши skew JWKS/соатро санҷед, қабули дугона баргардонед, тирезаро дароз кунед, ба мизоҷон паҳн кунед.

3. Афзудани давомнокии KMS/HSM

Фаъол кардани кэши имзоҳои маҳаллӣ иҷозат дода намешавад; ба ҷои - партия/навбат дар эмитент, прокси autoscaling HSM, афзалияти ҷараёнҳои интиқодӣ.

4. Нокомии як минтақа

Тартиби ҷудокунии минтақавиро фаъол созед; калидҳоро аз дигар минтақаҳо "кашед"; функсияҳои таназзулро, ки ба имзоҳо дар минтақаи афтода баста шудаанд, вайрон мекунад.

14) Санҷиш

Шартнома: дурустии JWKS, дуруст 'кӯдак '/alg/истифода, мутобиқати муштарӣ.
Манфӣ: имзои қалбакӣ, 'кӯдак' -и кӯҳна, alg нодуруст, skew соат.
Бесарусомонӣ: гардиши фаврӣ, дастнорас будани KMS, кашидани вақт.
Сарборӣ: имзои қуллаҳо (JWT/webhooks), рамзкушоии қуллаҳо (PII/пардохтҳо).
E2E: равзанаи калиди дугона: озодкунӣ - санҷиш - интиқоли ҳаракат - рад кардани равзанаи кӯҳна.

15) Намунаи конфигуратсия (YAML)

yaml crypto:
regions:
- id: "eu-core"
jwks_url: "https://sts. eu/.well-known/jwks. json"
rotation:
jwt_sign: { interval_days: 30, window_dual: "48h" }
webhook: { interval_days: 60, window_dual: "72h" }
kek:   { interval_days: 90, action: "rewrap" }
alg_policy:
sign: ["ES256","EdDSA"]
tls: ["TLS1. 2+","ECDSA_P256"]
publish:
jwks_cache_ttl: "60s"
audit:
hsm_attestation_required: true two_person_rule: true

16) Намунаи JWKS ва аломатҳо дар артефактҳо

Порчаи сарлавҳаи JWT: 
json
{ "alg":"ES256", "kid":"eu-core-es256-2025-10", "typ":"JWT" }
JWKS (қисми ҷамъиятӣ): 
json
{ "keys":[
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-10","x":"...","y":"..."},
{"kty":"EC","use":"sig","crv":"P-256","kid":"eu-core-es256-2025-07","x":"...","y":"..."}
]}

17) Анти-намунаҳо

Калидҳои дарозумр "солҳо" ва барои ҳама минтақаҳо маъмуланд.
Ротатсияи "дар як лаҳза" бидуни қабули дугона.
Содироти калидҳои хусусӣ аз KMS/HSM "барои суръат".
Омезиши вазифаҳо: JWT-ро имзо кунед ва маълумотро бо як калид рамзгузорӣ кунед.
Набудани сабтҳои HSM/тахассус ва маҳдудиятҳои IAM.
Механизми аз нав печонидани DEK дар гардиши KEK вуҷуд надорад.
"Асрори" дастӣ дар env ба ҷои Дӯкони Махфӣ.

18) Рӯйхати санҷиши пеш аз фурӯш

  • Ҳамаи калидҳои хусусӣ дар KMS/HSM; Матритсаи IAM ва принсипи 4-чашм танзим карда мешаванд.
  • Сиёсати алгоритм, дарозии калидӣ ва мӯҳлати ҳаёт тасдиқ карда мешавад.
  • Раванди имконпазири калиди дугона бо мониторинги мубодилаи 'кӯдакон'.
  • JWKS бо TTL кӯтоҳ ва гарм кардани кэш нашр карда мешавад; мизоҷон калиди ≥ 2-ро қабул мекунанд.
  • Рамзгузории лифофа: KEK гардиш мекунад, DEK дубора печонида мешавад.
  • Ҷудокунии минтақавӣ ва маҷмӯи калидҳои алоҳида аз ҷониби иҷорагирон.
  • Китобҳои бозикунии Compromise/rolling/force; тренинг мегузарад.
  • Метрикаҳо ('old _ kid _ usage _ raniso', 'беэътибор _ signature _ rate') ва огоҳиҳо фаъол мебошанд.
  • пакети санҷишӣ гузашт.
  • Ҳуҷҷатгузорӣ барои ҳамгироӣ: чӣ гуна бояд гузариши 'кудакро' идора кард, ки тирезаҳо ва рамзҳои хатогӣ.

Хулоса

Идоракунии калидӣ як интизоми амалиётӣ мебошад: KMS/HSM ҳамчун манбаи ҳақиқат, гардиши мунтазам ва бехатар бо ҷудокунии дугона, минтақавӣ ва иҷорагир, рамзгузории лифофа ва мушоҳида. Бо риояи ин қоидаҳо, шумо контури крипторо мегиред, ки миқёс, ба ҳодиса тобовар аст ва ба аудитор фаҳмондан осон аст - ва таҳиягарон ва интеграторҳо ҳама гуна тағиротро бе дард эҳсос мекунанд.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.