同じ暗号化キーを長期間使い続けることは、攻撃者に対して暗号データの解読の機会を与えてしまいます。一定期間ごと、またはキーが危険にさらされたときには、キーを変更することを薦めます。
どのくらいの期間でキーを変更すればよいかについては、暗号化アルゴリズムとキー管理についての業界のベストプラクティスに従ってください。たとえば、米国のNISTが発行している‘NIST Special Publication 800-57’があります。PCI DSSもこれに言及しています。その中では、マスタ暗号化キーは1年ごとに一度変更することが推奨されています。
マスタ暗号化キーを変更するには、最初に設定したときと同じくpgx_set_master_key関数を実行します。詳細は“5.2 マスタ暗号化キーの設定”を参照してください。
マスタ暗号化キーを変更したら、直ちにキーストアをバックアップしてください。