Vägledning om hur du skyddar din butik och roterar krypteringsnycklar: CVE-2024-34102

När krypteringsnyckeln uppdateras enligt anvisningarna här, skapas en ny nyckel som läggs till i en lista med nycklar. Den uppdaterade nyckeln blir den primära nyckeln som används för att läsa och skriva känsliga data. Om programmet försöker läsa tidigare krypterade data, vet det vilken nyckel som användes för att kryptera den och använder i stället den nyckeln för dekryptering. Om ett känsligt värde redigeras (till exempel ändras en betalnings-gatewayreferens) sparas värdet med den senaste krypteringsnyckeln. Den senaste krypteringsnyckeln används också för att skapa autentiseringstoken, som används för att utföra automatisering för en systembehörig användares räkning.

Kryptering är ett allmänt verktyg och därför är krypteringsnyckelsystemet utformat för att balansera flexibilitet, flexibilitet, säkerhet och prestanda. Det gör bland annat att nycklar kan uppdateras utan att tidigare krypterade data behöver krypteras om.

Även om era data skyddas mot framtida liknande attacker genom att den senaste säkerhetspatchen och nyckelrotationen tillämpas, arbetar Adobe också på en omkrypteringsmetod för att tillhandahålla ytterligare djupgående försvarsåtgärder, som vi vill göra tillgängliga de närmaste månaderna.