加密密钥需要定期更换吗 - 数码工坊数据备份指南

加密密钥真的要定时换吗

很多人在做数据备份时，会顺手给文件加上加密保护，比如用 AES 加密压缩包，或者在云存储里启用客户端加密。这时候就容易纠结一个问题：加密密钥是不是得像银行卡密码一样，三个月换一次？

如果你只是本地备份家庭照片、工作文档，用的是一次性生成的密钥，而且存储得当，比如写在纸条上锁进抽屉，没理由非得定期更换。密钥的安全性更多取决于它有没有被泄露，而不是用了多久。

就像你家的钥匙，只要没丢、没复制，没必要每个月换个新锁芯。反倒是频繁更换可能带来风险——新密钥存错地方、旧密钥删太快导致无法解密，反而造成数据丢失。

如果团队共用加密密钥，有人离职或设备丢失，这时候就得马上换。类似公司Wi-Fi密码，有人走了，总不能还让他连着内网。

另外，长期运行的系统，比如自动备份服务器，使用同一个密钥超过一年以上，建议评估更换。时间越长，被暴力破解或侧信道攻击的风险略微上升，尤其是密钥强度本身不够的时候。

与其纠结换不换，不如把精力放在密钥怎么存。很多人把密钥直接写在加密文件的备注里，或者存在同一个U盘上，这等于把钥匙挂在锁头上。

推荐的做法是使用密钥管理系统（KMS），或者至少用密码管理器单独保存。如果是脚本自动备份，可以这样写配置：

<?php
$encryption_key = sodium_hex2bin(getenv('BACKUP_KEY_ENV'));
// 从环境变量读取密钥，不硬编码在代码里
?>

这样即使代码泄露，密钥也不会跟着出去。

一些企业级备份工具如 BorgBackup，支持密钥轮换功能。你可以保留旧密钥用于解密历史数据，同时用新密钥加密新备份。

borg key export /path/to/repo --paper > old-key-backup.txt
borg key change-passphrase /path/to/repo
# 导出并更换密钥，不影响已有数据

这种机制下，更换密钥变得安全可控，不会因为换钥匙而打不开旧箱子。

有些公司规定“所有密钥必须每90天更换”，听起来很安全，但执行不到位反而埋雷。比如运维随手生成一个弱密钥应付检查，安全性还不如不动。

真正该关注的是：谁有权限访问密钥？有没有日志记录使用行为？备份恢复流程能不能跑通？这些问题搞定了，换不换密钥只是细节调整。