~~NOTOC~~
====== 11. Schlüsselmanagement ======

<WRAP round info>
**Szenarien:** 5 \\
**FFI-Funktionen:** ~40 \\
**Status:** ⏳ Geplant
</WRAP>

Diese Kategorie umfasst alle Szenarien zum Management kryptographischer Schlüssel. Generierung, Rotation, sichere Speicherung und Vernichtung.

----

===== Szenarien =====

^  ID  ^  Szenario  ^  Beschreibung  ^  Komplexität  ^  Status  ^
| [[.:generierung|11.1]] | Schlüssel generieren | ML-DSA, ML-KEM, Hybrid | ⭐⭐ | ⏳ |
| [[.:speicherung|11.2]] | Sichere Speicherung | HSM, TPM, Software-Vault | ⭐⭐⭐⭐ | ⏳ |
| [[.:rotation|11.3]] | Schlüssel-Rotation | Geplante Schlüsselerneuerung | ⭐⭐⭐ | ⏳ |
| [[.:backup|11.4]] | Schlüssel-Backup | Verschlüsseltes Backup, Recovery | ⭐⭐⭐ | ⏳ |
| [[.:vernichtung|11.5]] | Schlüssel vernichten | Sichere Löschung, Zeroization | ⭐⭐⭐ | ⏳ |

----

===== Schlüssel-Lebenszyklus =====

<mermaid>
flowchart LR
    subgraph GEN["🔑 Generierung"]
        G1[Schlüssel generieren]
        G2[Backup erstellen]
    end

    subgraph USE["⚙️ Nutzung"]
        U1[Aktivieren]
        U2[In Verwendung]
    end

    subgraph END["🗑️ Ende"]
        E1[Deaktivieren]
        E2[Archivieren]
        E3[Vernichten]
    end

    GEN --> USE --> END

    style G1 fill:#e8f5e9
    style U2 fill:#e3f2fd
    style E3 fill:#ffcdd2
</mermaid>

----

===== Schlüsseltypen und Speicherung =====

^  Schlüsseltyp  ^  Empfohlene Speicherung  ^  Backup  ^  Rotation  ^
| **Root-CA** | HSM (Offline) | M-of-N Split | Nie (20+ Jahre) |
| **Intermediate-CA** | HSM (Online) | Verschlüsselt | 5-10 Jahre |
| **Server** | Software/TPM | Optional | 1-2 Jahre |
| **Client** | Smart Card/TPM | Nein | 1-2 Jahre |

----

===== Speicheroptionen =====

^  Option  ^  Sicherheit  ^  Performance  ^  Kosten  ^  Einsatz  ^
| **HSM** | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | €€€ | CA, Kritische Systeme |
| **TPM** | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | € | Server, Workstations |
| **Software Vault** | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | €€ | Container, Cloud |
| **Verschlüsselte Datei** | ⭐⭐ | ⭐⭐⭐⭐⭐ | - | Entwicklung |

----

===== Branchenspezifische Anforderungen =====

^  Branche  ^  CA-Schlüssel  ^  End-Entity  ^  Compliance  ^
| **Energie/SCADA** | HSM (Offline) | TPM | NIS2, KRITIS |
| **Healthcare** | HSM | Smart Card | gematik, DSGVO |
| **Automotive** | HSM | Secure Element | UN R155 |
| **Industrie 4.0** | HSM | TPM | IEC 62443 |

----

===== Code-Schnellstart =====

==== Schlüssel generieren ====

<code csharp>
using WvdS.Security.Cryptography.Extensions.PQ;

// ML-DSA-65 für Signaturen
using var signingKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);

// ML-KEM-768 für Key Encapsulation
using var kemKey = ctx.GenerateKeyPair(PqAlgorithm.MlKem768);

// Hybrid-Schlüssel (ECDSA + ML-DSA)
using var hybridKey = ctx.GenerateHybridKeyPair(
    classicAlgorithm: EcdsaCurve.P384,
    pqAlgorithm: PqAlgorithm.MlDsa65
);
</code>

==== Sichere Speicherung ====

<code csharp>
// Schlüssel verschlüsselt speichern (Argon2id KDF + AES-256-GCM)
signingKey.SaveEncrypted(
    path: "signing.key.pem",
    password: securePassword,
    kdfOptions: new KdfOptions
    {
        Algorithm = KdfAlgorithm.Argon2id,
        Iterations = 3,
        MemoryKiB = 65536,  // 64 MB
        Parallelism = 4
    }
);

// Laden
using var loadedKey = ctx.LoadPrivateKey("signing.key.pem", securePassword);
</code>

==== Schlüssel vernichten ====

<code csharp>
// Sichere Vernichtung (Zeroization)
signingKey.Dispose();  // Überschreibt Speicher mit Nullen

// Für maximale Sicherheit: Explicit Zeroize
signingKey.SecureErase();  // Mehrfach überschreiben
signingKey.Dispose();
</code>

----

===== Key Ceremony Checkliste =====

<WRAP round important>
**Root-CA Key Ceremony:**

  - [ ] Air-Gapped System vorbereiten
  - [ ] Zeugen anwesend (min. 2)
  - [ ] Audit-Logging aktiviert
  - [ ] Schlüssel generieren
  - [ ] M-of-N Backup erstellen (z.B. 3-of-5)
  - [ ] Backups an verschiedene Orte verteilen
  - [ ] Root-Zertifikat exportieren
  - [ ] System herunterfahren und versiegeln
  - [ ] Dokumentation unterschreiben
</WRAP>

----

===== Verwandte Kategorien =====

^  Kategorie  ^  Beziehung  ^
| [[.:pki:start|1. PKI-Infrastruktur]] | CA-Schlüssel verwalten |
| [[.:verwaltung:start|4. Zertifikate verwalten]] | Re-Key bei Rotation |
| [[.:interop:start|12. Import/Export]] | Schlüssel exportieren |

----

<< [[de:int:pqcrypt:szenarien:tls:start|← 10. TLS/mTLS]] | [[de:int:pqcrypt:szenarien:start|↑ Szenarien]] | [[.:interop:start|12. Import/Export →]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>kategorie schluessel key generation rotation hsm}}