通俗地说，旋转加密密钥意味着：

1. 生成新密钥
2. 使用新密钥重新加密使用旧密钥加密的所有数据
3. 删除旧的加密数据和旧的加密密钥

密钥轮换通常适用于静态加密的数据，而不是像 TLS 之类的东西，因为它反映了处理仍然用旧密钥加密的所有旧数据的需要。

轮换的含义将取决于您的数据所有者的安全策略。

它可能有助于了解如何使用密钥生命周期状态图在密钥管理系统中经常管理密钥。典型的密钥生命周期如下所示：

1. 已生成（新的，尚未使用）
2. 活动（加密/解密）
3. 非活动（仅解密）
4. 已退休（密钥不可撤销地销毁）

根据此示例，所有新密钥的起始状态为 Generated。当它准备好使用时（也许一旦您配置了其他系统来使用它），您执行激活状态更改以将其提升为活动。密钥可用于加密和解密。

假设您的数据所有者希望每年轮换密钥。您将在密钥激活后安排一个 Deactivation 事件，时间到了，该事件将触发并且密钥转换为 Inactive 状态。您的系统可能还会同时生成一个新密钥，并激活它。这是一个关键的轮换。当密钥处于非活动状态时，您的系统仍然可以使用它来解密旧数据，但它不能再用于加密——只有新密钥可以用于加密。

最后，当您想要销毁数据时，您有一个 Retirement 事件，并且密钥转换为 Retired 状态，并且这些位被擦除。数据恢复变得非常困难，完全取决于您从备份中恢复密钥的能力等。一旦您的密钥管理器对其内部密钥加密密钥执行轮换，一切都结束了 - 旧密钥消失了，旧备份也没用.

当然，这不是唯一的途径。可以为“可疑”、“丢失”和/或“受损”的密钥定义其他状态。可以创建有关状态转换的各种规则。

定义了关于密钥如何以及何时从一种状态转换到另一种状态、哪些转换是合法的以及何时转换的规则。您还将看到一条规则，即如果密钥被泄露，则需要使用新密钥重新加密所有数据（在许多其他灾难恢复任务中）。

在某些组织中，密钥轮换需要将已轮换的密钥更改为非活动状态，并且需要生成新版本的密钥来加密新数据。当新密钥激活时，旧密钥变为非激活状态。旧数据保持使用相同的旧密钥加密，直到密钥失效，然后旧密钥被销毁。这样，旧数据不必被解密然后用新密钥重新加密。使用数据的应用程序必须使用加密数据时使用的相同版本的密钥。

其他组织可能没有非活动状态，并且密钥轮换将要求停用旧密钥并重新加密所有先前加密的数据。