<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Thu, Jul 16, 2015 at 10:29 AM, Davanum Srinivas <span dir="ltr"><<a href="mailto:davanum@gmail.com" target="_blank">davanum@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Adam,<br>
<br>
For 1, do we let user configure max_active_keys? what's the default?<br></blockquote><div><br></div><div>The default in keystone is 3, simply to support having one key in each of the three phases of rotation. You can increase it from there per your desired rotation frequency and token lifespan.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Please note that there is a risk that an active token may be<br>
invalidated if Fernet key rotation removes keys early. So that's a<br>
potential issue to keep in mind (relation of token expiry to period of<br>
key rotation).<br></blockquote><div><br></div><div>Keystone's three phase rotation scheme avoids this by allowing you to pre-stage keys across the cluster before using them for encryption.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
thanks,<br>
dims<br>
<span class=""><br>
<br>
On Thu, Jul 16, 2015 at 10:22 AM, Adam Heczko <<a href="mailto:aheczko@mirantis.com">aheczko@mirantis.com</a>> wrote:<br>
> Hi Folks,<br>
> Keystone supports Fernet tokens which have payload encrypted by AES 128 bit<br>
> key.<br>
> Although AES 128 bit key looks secure enough for most OpenStack deployments<br>
> [2], one may would like to rotate encryption keys according to already<br>
> proposed 3 step key rotation scheme (in case keys get compromised or<br>
> organizational security policy requirement).<br>
> Also creation and initial AES key distribution between Keystone HA nodes<br>
> could be challenging and this complexity could be handled by Fuel deployment<br>
> tool.<br>
><br>
> In regards to Fuel, I'd like to:<br>
> 1. Add support for initializing Keystone's Fernet signing keys to Fuel<br>
> during OpenStack cluster (Keystone) deployment<br>
> 2. Add support for rotating Keystone's Fernet signing keys to Fuel according<br>
> to some automatic schedule (for example one rotation per week) or triggered<br>
> from the Fuel web user interface or through Fuel API.<br>
><br>
> These two capabilities will be implemented in Fuel by related blueprint [1].<br>
><br>
> [1] <a href="https://blueprints.launchpad.net/fuel/+spec/fernet-tokens-support" rel="noreferrer" target="_blank">https://blueprints.launchpad.net/fuel/+spec/fernet-tokens-support</a><br>
</span>> [2] <a href="http://www.eetimes.com/document.asp?doc_id=1279619" rel="noreferrer" target="_blank">http://www.eetimes.com/document.asp?doc_id=1279619</a><br>
<span class="">><br>
><br>
> Regards,<br>
><br>
> --<br>
> Adam Heczko<br>
> Security Engineer @ Mirantis Inc.<br>
><br>
</span>> __________________________________________________________________________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Davanum Srinivas :: <a href="https://twitter.com/dims" rel="noreferrer" target="_blank">https://twitter.com/dims</a><br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</font></span></blockquote></div><br></div></div>