Dopo l'intervallo di tempo di Cryptoperiod, è necessario crittografare nuovamente tutti i dati?

Bene, dato che re-crypt tutti i dati potrebbero essere un problema nel ... Ci sono diversi approcci a questo (che è noto come "gestione dei segreti"):

• Basso livello di sicurezza : tieni solo un elenco delle tue chiavi private e se hai bisogno di ottenere vecchi dati puoi usare la vecchia chiave.
• Livello di sicurezza medio : uguale al livello basso ma prima di lasciare tutte le informazioni crittografate con la vecchia chiave, ogni volta che accedi al segreto lo ri-cripti con la chiave valida e cancelli il tuo vecchio segreto.
• Alta sicurezza / dati sensibili : sì, devi re-criptare tutti i tuoi segreti. (Potrebbe essere estremamente costoso).

Come di solito raccomando, non provare a sovrascrivere e non scegliere "re-crypt" per impostazione predefinita, prendi in considerazione le seguenti domande:

1. I dati sono sensibili in un modo che mette a repentaglio la tua attività se divulgata?
2. La quantità di tempo necessaria per ri-crittografare i dati è ragionevole? (Nel frattempo ricodifica i tuoi dati potresti non esserne disponibile).
3. Le informazioni scadono anche con il cryptoperiod?
4. Le tue chiavi sono protette abbastanza bene?
5. La resistenza di cryptoperiod / chiave è bilanciata?

[Modifica (miglioramento della risposta come suggerito da @LucasKauffman]

La mia risposta ha a che fare con PCI-DSS (sezioni 3.5-3.6) e devi leggere con attenzione per essere sicuri di comprendere appieno come mettere in pratica questi metodi. Non li incollo qui poiché è materiale protetto da copyright (è disponibile gratuitamente nella loro pagina Web).

Il PCI-DSS non contiene esattamente i punti che ho fatto, ma è implicito nel documento se lo leggete attentamente. Prestare particolare attenzione alla colonna "guida".

(Sentiti libero di aggiungere qualsiasi correzione di grammatica / sintassi poiché l'inglese non è la mia lingua madre).