2025.2 系列发布说明

21.0.0

升级说明

  • 已移除 [p11_crypto_plugin] algorithm 选项,该选项实际上是 [p11_crypto_plugin] encryption_mechanism 选项的弃用别名。

安全问题

  • barbican-manage 添加了一个新的子命令

    barbican-manage simple_crypto new_pkek –project $PROJECT_ID

    此新命令为指定项目创建一个新的项目特定密钥加密密钥 (pKEK)。在该项目创建的新密钥将使用此新的 pKEK 进行加密。此命令不会修改现有的密钥。

  • barbican-manage 添加了一个新的子命令

    barbican-manage simple_crypto rewrap_secrets –project $PROJECT_ID

    此新命令使用指定项目的最新活动项目特定密钥加密密钥 (pKEK) 重新加密所有密钥。这使得管理员能够轮换 pKEK,以便可以安全地从数据库中删除旧的 pKEK。

20.0.0

新特性

  • 已为 Simple Crypto 插件后端实现密钥加密密钥轮换。可以随时创建新的对称 Fernet 密钥并将其添加到配置文件中。[simple_crypto_plugin] 部分中的 kek 选项现在可以多次指定。配置多个 KEK 时,第一个密钥用于加密新的项目特定密钥 (pKEK),其余密钥仅用于解密现有数据。

    已向 barbican-manage 添加一个新的子命令,用于使用配置文件中的第一个 kek 重新加密现有的 pKEK。可以执行此命令以确保数据库中的所有 pKEK 都使用特定密钥重新加密。

    要完全轮换现有的 KEK,现在可以生成一个新的 KEK 来替换现有的密钥。您可以将新密钥作为配置文件中的第一个 kek 添加,并将现有密钥作为第二个 kek 保留。然后,您可以执行 barbican-manage simple_crypto rewrap_pkek 以使用新密钥重新加密所有现有的 pKEK。命令执行完毕后,您可以从配置文件中删除任何以前的密钥。