Неправильное управление ключами является основным источником риска . Чтобы устранить этот риск, Tink предлагает:
- Встроенная поддержка ведущих в отрасли систем управления ключами (KMS), которые помогут вам защитить ваши ключи (Google Cloud KMS, AWS KMS или HashiCorp Vault).
- Утилита командной строки под названием Tinkey , которая помогает генерировать ключи и работать с наборами ключей Tink.
Конкретно, после того как вы выбрали примитив и тип ключа для вашего варианта использования (в предыдущем разделе «Я хочу... »), выполните следующие действия для управления ключами:
Используйте внешнюю систему управления ключами (KMS), выбранную на шаге 2 , для защиты ключей, сгенерированных Tink, с помощью:
- Создание ключа шифрования (KEK) во внешнем KMS.
- Получение ключевого URI и учетных данных, которые вы можете передать в Tink.
Используйте API-интерфейсы Tink или Tinkey для создания зашифрованного набора ключей . После того, как ваши ключи будут зашифрованы, вы сможете хранить их где угодно.
Поменяйте ключи , чтобы избежать риска многократного повторного использования ключей.