<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 7, 2017 at 2:09 AM, Matt Fischer <span dir="ltr"><<a href="mailto:matt@mattfischer.com" target="_blank">matt@mattfischer.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>I don't think it would cause an issue if every controller rotated all at once. The issues are more along the lines of rotating to key C when there are tokens out there that are encrypted with keys A and B. In other words over-rotation. As long as your keys are properly staged, do the rotation all at once or space them out, should not make any difference.</div><div></div></blockquote></div><br><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">​The issue is "at once".</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">It takes some time to rotate and distribute the keys. There is one case that.</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">controller A and controller B generate a new different keys. Then they copy the ​key to other by using rsync.</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">A: 0 1 2 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">B: 0' 1' 2 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">When distributing, the 0/0' and 1/1' may be overrode(rsync hold the delete file handler and copy it to other one). it will lead to</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">A: 0' 1' 2 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">B: 0 1 2 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">next rotation, it may become</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">A: 0' 1' 2' 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">B: 0 1 2 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">after distribute , it become</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">A: 0 1 2 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">B: 0' 1' 2' 3</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">Next rotation and distribute, issue happen.</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small">This is a small probability， but it still possible.</div><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><span style="font-size:13px;border-collapse:collapse"><font face="monospace, monospace">Regards,</font></span></div><div><span style="font-size:13px;border-collapse:collapse"><font face="monospace, monospace">Jeffrey Zhang</font></span></div><div><span style="font-family:monospace,monospace;font-size:12.8px">Blog: </span><a href="http://xcodest.me/" style="font-family:monospace,monospace;font-size:12.8px" target="_blank">http://xcodest.me</a><font face="monospace, monospace"><br></font></div></div></div></div></div></div></div></div></div>
</div></div>