~~NOTOC~~
====== 11. Gestione delle chiavi ======

<WRAP round info>
**Scenari:** 5 \\
**Funzioni FFI:** ~40 \\
**Stato:** In pianificazione
</WRAP>

Questa categoria comprende tutti gli scenari per la gestione delle chiavi crittografiche. Generazione, rotazione, archiviazione sicura e distruzione.

----

===== Scenari =====

^  ID  ^  Scenario  ^  Descrizione  ^  Complessità  ^  Stato  ^
| [[.:generierung|11.1]] | Generazione chiavi | ML-DSA, ML-KEM, Ibrido | Media | In pianificazione |
| [[.:speicherung|11.2]] | Archiviazione sicura | HSM, TPM, Software-Vault | Alta | In pianificazione |
| [[.:rotation|11.3]] | Rotazione chiavi | Rinnovo pianificato delle chiavi | Media | In pianificazione |
| [[.:backup|11.4]] | Backup chiavi | Backup crittografato, Recovery | Media | In pianificazione |
| [[.:vernichtung|11.5]] | Distruzione chiavi | Cancellazione sicura, Zeroization | Media | In pianificazione |

----

===== Ciclo di vita delle chiavi =====

<mermaid>
flowchart LR
    subgraph GEN["Generazione"]
        G1[Generare chiave]
        G2[Creare backup]
    end

    subgraph USE["Utilizzo"]
        U1[Attivare]
        U2[In uso]
    end

    subgraph END["Fine"]
        E1[Disattivare]
        E2[Archiviare]
        E3[Distruggere]
    end

    GEN --> USE --> END

    style G1 fill:#e8f5e9
    style U2 fill:#e3f2fd
    style E3 fill:#ffcdd2
</mermaid>

----

===== Tipi di chiave e archiviazione =====

^  Tipo chiave  ^  Archiviazione consigliata  ^  Backup  ^  Rotazione  ^
| **Root-CA** | HSM (Offline) | Split M-of-N | Mai (20+ anni) |
| **Intermediate-CA** | HSM (Online) | Crittografato | 5-10 anni |
| **Server** | Software/TPM | Opzionale | 1-2 anni |
| **Client** | Smart Card/TPM | No | 1-2 anni |

----

===== Opzioni di archiviazione =====

^  Opzione  ^  Sicurezza  ^  Prestazioni  ^  Costi  ^  Utilizzo  ^
| **HSM** | Molto alta | Media | Alto | CA, Sistemi critici |
| **TPM** | Alta | Alta | Basso | Server, Workstation |
| **Software Vault** | Media | Molto alta | Medio | Container, Cloud |
| **File crittografato** | Bassa | Molto alta | - | Sviluppo |

----

===== Requisiti specifici per settore =====

^  Settore  ^  Chiave CA  ^  End-Entity  ^  Conformità  ^
| **Energia/SCADA** | HSM (Offline) | TPM | NIS2, KRITIS |
| **Sanità** | HSM | Smart Card | gematik, GDPR |
| **Automotive** | HSM | Secure Element | UN R155 |
| **Industria 4.0** | HSM | TPM | IEC 62443 |

----

===== Quick start codice =====

==== Generare chiave ====

<code csharp>
using WvdS.Security.Cryptography.Extensions.PQ;

// ML-DSA-65 per firme
using var signingKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);

// ML-KEM-768 per Key Encapsulation
using var kemKey = ctx.GenerateKeyPair(PqAlgorithm.MlKem768);

// Chiave ibrida (ECDSA + ML-DSA)
using var hybridKey = ctx.GenerateHybridKeyPair(
    classicAlgorithm: EcdsaCurve.P384,
    pqAlgorithm: PqAlgorithm.MlDsa65
);
</code>

==== Archiviazione sicura ====

<code csharp>
// Salvare chiave crittografata (Argon2id KDF + AES-256-GCM)
signingKey.SaveEncrypted(
    path: "signing.key.pem",
    password: securePassword,
    kdfOptions: new KdfOptions
    {
        Algorithm = KdfAlgorithm.Argon2id,
        Iterations = 3,
        MemoryKiB = 65536,  // 64 MB
        Parallelism = 4
    }
);

// Caricare
using var loadedKey = ctx.LoadPrivateKey("signing.key.pem", securePassword);
</code>

==== Distruggere chiave ====

<code csharp>
// Distruzione sicura (Zeroization)
signingKey.Dispose();  // Sovrascrive memoria con zeri

// Per massima sicurezza: Explicit Zeroize
signingKey.SecureErase();  // Sovrascrittura multipla
signingKey.Dispose();
</code>

----

===== Checklist Key Ceremony =====

<WRAP round important>
**Root-CA Key Ceremony:**

  - [ ] Preparare sistema air-gapped
  - [ ] Testimoni presenti (min. 2)
  - [ ] Audit-logging attivato
  - [ ] Generare chiave
  - [ ] Creare backup M-of-N (es. 3-of-5)
  - [ ] Distribuire backup in luoghi diversi
  - [ ] Esportare certificato root
  - [ ] Spegnere e sigillare sistema
  - [ ] Firmare documentazione
</WRAP>

----

===== Categorie correlate =====

^  Categoria  ^  Relazione  ^
| [[.:pki:start|1. Infrastruttura PKI]] | Gestire chiavi CA |
| [[.:verwaltung:start|4. Gestione certificati]] | Re-Key in rotazione |
| [[.:interop:start|12. Import/Export]] | Esportare chiavi |

----

<< [[it:int:pqcrypt:szenarien:tls:start|10. TLS/mTLS]] | [[it:int:pqcrypt:szenarien:start|Scenari]] | [[.:interop:start|12. Import/Export]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>categoria chiave key generazione rotazione hsm}}