Eine unsachgemäße Schlüsselverwaltung ist eine erhebliche Risikoquelle. Um diesem Risiko entgegenzuwirken, bietet Tink Folgendes an:
- Integrierte Unterstützung für branchenführende Key Management Systems (KMS), um Ihre Schlüssel zu schützen (Google Cloud KMS, AWS KMS oder HashiCorp Vault).
- Ein Befehlszeilendienstprogramm namens Tinkey, das Sie beim Generieren von Schlüsseln und zum Arbeiten mit Tink-Schlüsselsätzen unterstützt.
Nachdem Sie einen primitiven und einen Schlüsseltyp für Ihren Anwendungsfall ausgewählt haben (im vorherigen Abschnitt Ich möchte...), führen Sie die folgenden Schritte aus, um Ihre Schlüssel zu verwalten:
Verwenden Sie das in Schritt 2 ausgewählte externe Schlüsselverwaltungssystem (Key Management System, KMS), um Ihre von Tink generierten Schlüssel zu schützen, indem Sie:
- Erstellen eines Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK) in Ihrem externen KMS.
- Abrufen eines Schlüssel-URI und von Anmeldedaten, die Sie an Tink übergeben können
Verwenden Sie Tinks APIs oder Tinkey, um ein verschlüsseltes Schlüsselsatz zu generieren. Nachdem Ihre Schlüssel verschlüsselt wurden, können Sie sie an einem beliebigen Ort speichern.
Schlüssel rotieren, um das Risiko einer übermäßigen Wiederverwendung der Schlüssel zu vermeiden.