Pourquoi c'est important
La compromission d'une clé peut passer inaperçue. Un attaquant pourrait copier une clé et attendre le bon moment pour agir. La rotation régulière des clés borne ce risque : même si une clé a été compromise il y a des mois, les fonds déplacés vers de nouvelles clés sont en sécurité. La rotation convertit une violation potentiellement catastrophique en un incident contenu.
Comment ça fonctionne
De nouvelles clés sont générées selon des procédures sécurisées. Les fonds sont transférés des adresses contrôlées par les anciennes clés vers des adresses contrôlées par les nouvelles clés. Les anciennes clés sont ensuite mises hors service. Pour les configurations multisig, la rotation peut remplacer une clé à la fois tout en maintenant le seuil de signature.
Exemple
Une institution effectue une rotation d'une clé dans son multisig 3-sur-5 chaque trimestre. Chaque trimestre, elle génère une nouvelle clé sur un nouveau module de sécurité matériel, met à jour la configuration multisig, migre les fonds vers des adresses utilisant le nouveau jeu de clés et détruit de façon sécurisée la clé retirée. Toute compromission de l'ancienne clé devient sans objet.
