~~NOTOC~~
====== 11. Upravljanje ključevima ======

<WRAP round info>
**Scenariji:** 5 \\
**FFI funkcije:** ~40 \\
**Status:** Planirano
</WRAP>

Ova kategorija obuhvaća sve scenarije za upravljanje kriptografskim ključevima. Generiranje, rotacija, sigurna pohrana i uništavanje.

----

===== Scenariji =====

^  ID  ^  Scenarij  ^  Opis  ^  Složenost  ^  Status  ^
| [[.:generierung|11.1]] | Generiranje ključeva | ML-DSA, ML-KEM, Hibridni | ⭐⭐ | ⏳ |
| [[.:speicherung|11.2]] | Sigurna pohrana | HSM, TPM, Software-Vault | ⭐⭐⭐⭐ | ⏳ |
| [[.:rotation|11.3]] | Rotacija ključeva | Planirano obnavljanje ključeva | ⭐⭐⭐ | ⏳ |
| [[.:backup|11.4]] | Sigurnosna kopija ključeva | Šifrirano sigurnosno kopiranje, oporavak | ⭐⭐⭐ | ⏳ |
| [[.:vernichtung|11.5]] | Uništavanje ključeva | Sigurno brisanje, Zeroizacija | ⭐⭐⭐ | ⏳ |

----

===== Životni ciklus ključeva =====

<mermaid>
flowchart LR
    subgraph GEN["🔑 Generiranje"]
        G1[Generiranje ključa]
        G2[Kreiranje sigurnosne kopije]
    end

    subgraph USE["⚙️ Korištenje"]
        U1[Aktivacija]
        U2[U uporabi]
    end

    subgraph END["🗑️ Kraj"]
        E1[Deaktivacija]
        E2[Arhiviranje]
        E3[Uništavanje]
    end

    GEN --> USE --> END

    style G1 fill:#e8f5e9
    style U2 fill:#e3f2fd
    style E3 fill:#ffcdd2
</mermaid>

----

===== Tipovi ključeva i pohrana =====

^  Tip ključa  ^  Preporučena pohrana  ^  Sigurnosna kopija  ^  Rotacija  ^
| **Root-CA** | HSM (Offline) | M-of-N Split | Nikad (20+ godina) |
| **Intermediate-CA** | HSM (Online) | Šifrirano | 5-10 godina |
| **Server** | Software/TPM | Opcionalno | 1-2 godine |
| **Klijent** | Smart Card/TPM | Ne | 1-2 godine |

----

===== Opcije pohrane =====

^  Opcija  ^  Sigurnost  ^  Performanse  ^  Trošak  ^  Primjena  ^
| **HSM** | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | €€€ | CA, Kritični sustavi |
| **TPM** | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | € | Serveri, Radne stanice |
| **Software Vault** | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | €€ | Kontejneri, Cloud |
| **Šifrirana datoteka** | ⭐⭐ | ⭐⭐⭐⭐⭐ | - | Razvoj |

----

===== Zahtjevi specifični za industriju =====

^  Industrija  ^  CA-ključevi  ^  End-Entity  ^  Usklađenost  ^
| **Energetika/SCADA** | HSM (Offline) | TPM | NIS2, KRITIS |
| **Zdravstvo** | HSM | Smart Card | gematik, GDPR |
| **Automobilska** | HSM | Secure Element | UN R155 |
| **Industrija 4.0** | HSM | TPM | IEC 62443 |

----

===== Brzi početak s kodom =====

==== Generiranje ključeva ====

<code csharp>
using WvdS.Security.Cryptography.Extensions.PQ;

// ML-DSA-65 za potpise
using var signingKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);

// ML-KEM-768 za Key Encapsulation
using var kemKey = ctx.GenerateKeyPair(PqAlgorithm.MlKem768);

// Hibridni ključ (ECDSA + ML-DSA)
using var hybridKey = ctx.GenerateHybridKeyPair(
    classicAlgorithm: EcdsaCurve.P384,
    pqAlgorithm: PqAlgorithm.MlDsa65
);
</code>

==== Sigurna pohrana ====

<code csharp>
// Šifrirano spremanje ključa (Argon2id KDF + AES-256-GCM)
signingKey.SaveEncrypted(
    path: "signing.key.pem",
    password: securePassword,
    kdfOptions: new KdfOptions
    {
        Algorithm = KdfAlgorithm.Argon2id,
        Iterations = 3,
        MemoryKiB = 65536,  // 64 MB
        Parallelism = 4
    }
);

// Učitavanje
using var loadedKey = ctx.LoadPrivateKey("signing.key.pem", securePassword);
</code>

==== Uništavanje ključeva ====

<code csharp>
// Sigurno uništavanje (Zeroizacija)
signingKey.Dispose();  // Prepisuje memoriju nulama

// Za maksimalnu sigurnost: Eksplicitna Zeroizacija
signingKey.SecureErase();  // Višestruko prepisivanje
signingKey.Dispose();
</code>

----

===== Kontrolna lista Key Ceremony =====

<WRAP round important>
**Root-CA Key Ceremony:**

  - [ ] Priprema Air-Gapped sustava
  - [ ] Prisutni svjedoci (min. 2)
  - [ ] Aktivirano Audit-Logging
  - [ ] Generiranje ključeva
  - [ ] Kreiranje M-of-N sigurnosne kopije (npr. 3-of-5)
  - [ ] Distribucija sigurnosnih kopija na različite lokacije
  - [ ] Izvoz Root certifikata
  - [ ] Isključivanje i pečaćenje sustava
  - [ ] Potpisivanje dokumentacije
</WRAP>

----

===== Povezane kategorije =====

^  Kategorija  ^  Odnos  ^
| [[.:pki:start|1. PKI infrastruktura]] | Upravljanje CA ključevima |
| [[.:verwaltung:start|4. Upravljanje certifikatima]] | Re-Key kod rotacije |
| [[.:interop:start|12. Uvoz/Izvoz]] | Izvoz ključeva |

----

<< [[hr:int:pqcrypt:szenarien:tls:start|← 10. TLS/mTLS]] | [[hr:int:pqcrypt:szenarien:start|↑ Scenariji]] | [[.:interop:start|12. Uvoz/Izvoz →]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>kategorija ključ key generiranje rotacija hsm}}