Cadre de travail de gestion des clés États clés du cycle de vie

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • KMF prend en charge plusieurs états du cycle de vie des clés cryptographiques grâce à l’application d’actions autorisées spécifiques. Par exemple, seules les clés qui sont à l’état actif peuvent être utilisées entièrement à des fins cryptographiques prévues. Le tableau suivant fournit plus de détails sur les différents états clés du cycle de vie.

    État ou action clé du cycle de vie Description
    Actif La clé active est utilisée pour générer de nouveaux contenus, tels que le chiffrement ou la signature. Il ne peut y avoir qu’une seule clé active pour une spécification cryptographique donnée dans un module cryptographique.
    Compromis

    Les clés compromises ne peuvent pas être utilisées pour générer de nouveau contenu, comme le chiffrement ou la signature, mais peuvent toujours être utilisées pour identifier l’objectif d’un contenu existant, comme le déchiffrement ou la vérification.

    Plusieurs clés peuvent exister à l’état compromis pour la révocation dans une spécification cryptographique donnée dans un module cryptographique. Toute clé active ou suspendue peut être déplacée vers un état compromis.
    Désactivé Toute clé active peut être désactivée. Il peut y avoir plusieurs clés dans un état désactivé pour une spécification cryptographique donnée dans un module cryptographique.

    Par exemple, lorsque la clé est tournée, la clé active actuelle est désactivée. Les clés désactivées ne peuvent pas être utilisées pour générer du nouveau contenu, tel que le chiffrement et la signature, mais peuvent néanmoins être utilisées pour identifier les objectifs d’un contenu existant, tels que le déchiffrement ou la vérification.

    Remarque :
    Les clés compromises et révoquées sont traitées comme des clés désactivées.
    Détruit Lorsqu’une clé est détruite, le matériel de la clé est définitivement supprimé et ne peut plus être utilisé à des fins cryptographiques. Toute clé désactivée peut être détruite à l’aide de l’automatisation du cycle de vie lorsqu’elle n’a pas été utilisée dans le délai désigné configuré. Il peut y avoir plusieurs clés dans un état détruit pour une spécification cryptographique donnée dans un module cryptographique.
    Avertissement :
    Les données associées à une clé détruite ne sont plus accessibles. Il convient donc de faire preuve d’une extrême prudence lors de l’exécution d’une action de clé de destruction.
    Généré Plusieurs clés peuvent exister à l’état généré pour une spécification de chiffrement donnée dans un module de chiffrement.

    Une clé générée peut être passée à l’état actif lorsqu’aucune clé active n’existe pour la spécification cryptographique donnée. La première clé générée est automatiquement activée.

    Remarque :
    Si le choix consiste à générer une nouvelle clé, une nouvelle clé est générée et rendue active même s’il existe des clés à l’état généré pour la spécification cryptographique donnée.
    Renouvelé Une clé active ayant une date d’expiration peut être renouvelée le nombre de fois souhaité pour prolonger la période de cycle de vie de la clé.
    Remarque :
    La différence entre la date d’activation et la date d’expiration est calculée et la date d’expiration est reportée de cette durée par rapport au jour en cours.
    Reprendre L’action d’interface utilisateur est disponible sur les clés suspendues pour les ramener à un état actif lorsqu’aucune autre clé active n’existe pour la spécification de chiffrement donnée.
    Révoqué Toute clé active ou suspendue peut être passée à l’état révoqué.

    Les clés révoquées ne peuvent pas être utilisées pour générer du nouveau contenu, tel que le chiffrement ou la signature, mais peuvent toujours être utilisées pour identifier l’objectif d’un contenu existant, par exemple pour le déchiffrement ou la vérification.

    Plusieurs clés dans un état révoqué peuvent exister pour une spécification cryptographique donnée dans un module cryptographique.
    Pivoté La rotation de clés entraîne la désactivation de la clé active actuelle et l’activation d’une autre clé. Sélectionnez la nouvelle clé active parmi les suivantes :
    • Génération d’une nouvelle clé.
    • Pointez sur une clé importée existante. N’importe quelle clé active peut être tournée.
    Suspendu Il peut y avoir plusieurs clés à l’état suspendu pour une spécification cryptographique donnée dans un module cryptographique. Lorsque la clé est suspendue, elle peut être reprise et réaffectée à un état actif lorsqu’aucune autre clé active n’existe pour cette spécification cryptographique.