Estados de las versiones de claves

Una versión de clave tiene un estado:

  • Generación pendiente (PENDING_GENERATION): (Solo se aplica a las claves asimétricas). Esta versión de clave aún se está generando. Es posible que aún no se haya usado, habilitado, inhabilitado o destruido. Cloud Key Management Service cambiará automáticamente el estado a habilitado en cuanto la versión esté lista.

  • Importación pendiente (PENDING_IMPORT): (Solo se aplica a las claves importadas). Esta versión de la clave aún se está importando. Es posible que aún no se haya usado, habilitado, inhabilitado o destruido. Cloud Key Management Service cambiará automáticamente el estado a habilitado en cuanto la versión esté lista.

  • Habilitada (ENABLED): la versión de la clave está lista para usarse.

  • Inhabilitada (DISABLED): esta versión de la clave no se puede usar, pero el material de la clave sigue disponible y la versión se puede volver a habilitar.

  • Eliminación programada (DESTROY_SCHEDULED): se ha programado la eliminación de esta versión de clave y se eliminará pronto. Mientras una versión de una clave se encuentre en este estado, no se podrá usar para operaciones criptográficas y las solicitudes para usar la clave fallarán. La versión de la clave se puede restaurar al estado inhabilitado durante el periodo de eliminación programado. Este estado se corresponde con la etapa 2: eliminación no definitiva del proceso de eliminación de datos.

  • Eliminada (DESTROYED): esta versión de la clave se ha eliminado y el material de la clave ya no se almacena en Cloud KMS. Si la versión de la clave se ha usado para el cifrado asimétrico o simétrico, no se podrá recuperar ningún texto cifrado con esta versión. Si la versión de la clave se ha usado para la firma digital, no se pueden crear firmas nuevas. Además, en el caso de todas las versiones de claves asimétricas, la clave pública ya no se puede descargar. Una versión de clave no puede salir del estado destruido una vez que se ha introducido, excepto cuando se vuelve a importar. Este estado se corresponde con la etapa 3: eliminación lógica de los sistemas activos del flujo de procesamiento de eliminación de datos, lo que significa que el material de claves se elimina de todos los sistemas activos de Cloud KMS. El material de la clave tarda 45 días desde el momento de la destrucción en eliminarse de todos los sistemas activos y de copia de seguridad de Google. Para obtener más información, consulta la cronología de eliminación de Cloud KMS.

  • Error al importar (IMPORT_FAILED): no se ha podido importar esta versión de la clave. Consulta Solucionar problemas de importaciones fallidas para obtener más información sobre las condiciones que provocan errores de importación.

Cambiar el estado de una versión de clave

A continuación, se describe cómo puede cambiar el estado de una versión de clave:

  • Cuando se crea una versión de clave asimétrica, empieza con el estado "Generación pendiente". Cuando Cloud KMS termina de generar la versión de la clave, su estado cambia automáticamente a habilitado.

  • Cuando se crea una versión de una clave simétrica, empieza con el estado "Habilitada".

  • Una versión de clave puede pasar de habilitada a inhabilitada y de inhabilitada a habilitada mediante UpdateCryptoKeyVersion y las interfaces de este método. Para ver ejemplos, consulta Habilitar e inhabilitar versiones de clave.

  • Una versión de clave habilitada o inhabilitada puede pasar al estado "Programada para destrucción" mediante DestroyCryptoKeyVersion y las interfaces de este método. Para ver ejemplos, consulta Programar la eliminación de una versión de clave.

  • Una versión de clave programada para eliminarse se puede volver a inhabilitar mediante RestoreCryptoKeyVersion y las interfaces de este método. Para ver ejemplos, consulta Restaurar una versión de una clave.

En el siguiente diagrama se muestran los estados permitidos de una versión de clave.

Estados de las versiones de claves

Ten en cuenta que solo las versiones de claves asimétricas empiezan en el estado de generación pendiente. Las versiones de claves simétricas se crean con el estado habilitado.

Impacto del estado de la versión de la clave en las operaciones criptográficas

El impacto del estado de la versión de la clave en las operaciones criptográficas depende de si la clave se usa para lo siguiente:

  • Encriptado simétrico
  • Cifrado asimétrico o firma digital

Encriptado simétrico

Cada clave de cifrado simétrica tiene una versión principal designada que se usa en ese momento para cifrar datos. Para que una clave esté disponible para cifrar datos, debe tener una versión de la clave principal habilitada.

Cuando se usa una clave para cifrar texto sin formato, se usa su versión de clave principal para cifrar esos datos. La información sobre qué versión se ha usado para cifrar los datos se almacena en el texto cifrado de los datos. Solo puede haber una versión de una clave como principal en un momento dado.

Si la versión principal de la clave está inhabilitada, no se podrá usar para encriptar datos. Ten en cuenta que una versión de clave principal habilitada se puede inhabilitar, programar para su destrucción o destruir, y que una versión que no esté habilitada se puede convertir en la versión principal.

La versión de clave principal no influye en la capacidad de desencriptar datos. Se puede usar una versión de clave para descifrar datos siempre que esté habilitada.

Cifrado asimétrico o firma digital

Cada vez que se usa una clave asimétrica para el cifrado o la firma digital, se debe especificar una versión de la clave. Para que la versión de la clave esté disponible para el cifrado asimétrico o la firma digital, debe estar habilitada. Solo puedes recuperar la clave pública de una versión de clave si está habilitada.

Duración variable del estado Programado para eliminarse

De forma predeterminada, las claves de Cloud KMS permanecen 30 días en el estado Programada para la destrucción (eliminación no definitiva) antes de que el material de la clave se elimine lógicamente del sistema. Esta duración se puede configurar, pero debes tener en cuenta lo siguiente:

  • La duración solo se puede configurar durante la creación de la clave.
  • Una vez especificada, la duración de la clave no se puede cambiar.
  • La duración se aplica a todas las versiones de la clave que se creen en el futuro.
  • La duración mínima es de 24 horas para todas las claves, excepto para las claves de solo importación, que tienen una duración mínima de 0.
  • La duración máxima es de 120 días.

El valor se configura mediante el campo destroy_scheduled_duration de CryptoKey en CreateCryptoKeyRequest.

Te recomendamos que utilices la duración predeterminada de 30 días para todas las claves, a menos que tengas requisitos de aplicación o normativos específicos que requieran un valor diferente.