Une gestion incorrecte des clés est une principale source de risque. Pour faire face à ce risque, Tink propose les solutions suivantes:
- Compatibilité intégrée avec les meilleurs systèmes de gestion des clés (KMS) pour vous aider à sécuriser vos clés (Google Cloud KMS, AWS KMS ou HashiCorp Vault)
- Un utilitaire de ligne de commande appelé Tinkey, qui vous aide à générer des clés et à utiliser les collections de clés Tink.
Concrètement, après avoir sélectionné un type primitif et un type de clé pour votre cas d'utilisation (dans la section précédente I want to...) (Je veux...), procédez comme suit pour gérer vos clés:
Utilisez le système de gestion de clés externe que vous avez sélectionné à l'étape 2 pour protéger vos clés générées par Tink en procédant comme suit:
- Créer une clé de chiffrement de clé (KEK) dans votre service KMS externe
- récupérer un URI de clé et des identifiants que vous pouvez transmettre à Tink ;
Utilisez les API de Tink ou Tinkey pour générer une collection de clés chiffrée. Une fois vos clés chiffrées, vous pouvez les stocker où vous le souhaitez.
Effectuez une rotation de vos clés pour éviter le risque de les réutiliser de manière intensive.