~~NOTOC~~
====== Scenarij 11.3: Rotacija ključev ======

<WRAP round info>
**Kategorija:** [[.:start|Upravljanje ključev]] \\
**Kompleksnost:** ⭐⭐⭐⭐ (Visoka) \\
**Predpogoji:** Obstoječi ključi, strategija varnostnih kopij \\
**Predviden čas:** 30-45 minut
</WRAP>

----

===== Opis =====

Ta scenarij opisuje **redno rotacijo kriptografskih ključev**. Rotacija ključev je kritičen varnostni ukrep, ki omejuje tveganje kompromitacije.

**Razlogi za rotacijo:**
  * **Časovno pogojeno** - Dosežena maksimalna življenjska doba ključa
  * **Pogojeno z uporabo** - Maksimalno število operacij/obseg podatkov
  * **Varnostni incident** - Sum kompromitacije
  * **Skladnost** - Regulativne zahteve
  * **Nadgradnja algoritma** - Migracija na močnejše algoritme

----

===== Potek dela =====

<mermaid>
flowchart TD
    TRIGGER[Sprožilec rotacije] --> CHECK{Potrebna rotacija?}
    CHECK -->|Ne| WAIT[Čakanje]
    CHECK -->|Da| BACKUP[Varnostna kopija starega ključa]
    BACKUP --> GEN[Generiranje novega ključa]
    GEN --> MIGRATE[Migracija sistemov]
    MIGRATE --> TEST[Funkcijski test]
    TEST --> OVERLAP{Prekrivanje OK?}
    OVERLAP -->|Da| RETIRE[Deaktivacija starega ključa]
    OVERLAP -->|Ne| ROLLBACK[Povrnitev]
    RETIRE --> ARCHIVE[Arhiviranje/Brisanje]

    style GEN fill:#e8f5e9
    style BACKUP fill:#fff3e0
</mermaid>

----

===== Smernice za rotacijo =====

^  Tip ključa  ^  Maks. starost  ^  Maks. operacije  ^  Prekrivanje  ^
| **Ključ korenskega CA** | 10-20 let | N/A | 1 leto |
| **Ključ vmesnega CA** | 3-5 let | N/A | 90 dni |
| **Ključ TLS strežnika** | 1 leto | 10M rokovanj | 7 dni |
| **Ključ za podpisovanje kode** | 2 leti | 100K podpisov | 30 dni |
| **Šifrirni ključ** | 1 leto | 100TB podatkov | 30 dni |

----

===== Panožne zahteve za rotacijo =====

^  Panoga  ^  Cikel rotacije  ^  Zahteva  ^  Posebnost  ^
| **Finančni sektor** | 1 leto | PCI-DSS 3.6.4 | Obvezna revizijska sled |
| **Zdravstvo** | 2 leti | HIPAA | Key Escrow |
| **Energetika/KRITIS** | 3 leta | BSI KRITIS-VO | Vzdrževalno okno |
| **Organi oblasti** | 2 leti | BSI TR-03116 | HSM obvezen |

----

===== Povezani scenariji =====

^  Povezava  ^  Scenarij  ^  Opis  ^
| **Predpogoj** | [[.:speicherung|11.2 Hramba ključev]] | Varna hramba |
| **Predpogoj** | [[.:backup|11.4 Varnostna kopija ključev]] | Varnostna kopija pred rotacijo |
| **Naslednji korak** | [[.:vernichtung|11.5 Uničenje ključev]] | Brisanje starih ključev |
| **Povezano** | [[sl:int:pqcrypt:szenarien:verwaltung:rekey|4.2 Rekey]] | Certifikat z novim ključem |

----

<< [[.:speicherung|← 11.2 Hramba ključev]] | [[.:start|↑ Pregled ključev]] | [[.:backup|11.4 Varnostna kopija ključev →]] >>

{{tag>scenarij ključ rotacija življenjski-cikel skladnost}}

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//