~~NOTOC~~
====== 11. Upravljanje ključev ======

<WRAP round info>
**Scenariji:** 5 \\
**FFI funkcije:** ~40 \\
**Status:** ⏳ Načrtovano
</WRAP>

Ta kategorija zajema vse scenarije za upravljanje kriptografskih ključev. Generiranje, rotacija, varna hramba in uničenje.

----

===== Scenariji =====

^  ID  ^  Scenarij  ^  Opis  ^  Kompleksnost  ^  Status  ^
| [[.:generierung|11.1]] | Generiranje ključev | ML-DSA, ML-KEM, hibridni | ⭐⭐ | ⏳ |
| [[.:speicherung|11.2]] | Varna hramba | HSM, TPM, programski trezor | ⭐⭐⭐⭐ | ⏳ |
| [[.:rotation|11.3]] | Rotacija ključev | Načrtovana obnova ključev | ⭐⭐⭐ | ⏳ |
| [[.:backup|11.4]] | Varnostna kopija ključev | Šifrirano varnostno kopiranje, obnovitev | ⭐⭐⭐ | ⏳ |
| [[.:vernichtung|11.5]] | Uničenje ključev | Varno brisanje, ničenje | ⭐⭐⭐ | ⏳ |

----

===== Življenjski cikel ključev =====

<mermaid>
flowchart LR
    subgraph GEN["🔑 Generiranje"]
        G1[Generiranje ključa]
        G2[Ustvarjanje varnostne kopije]
    end

    subgraph USE["⚙️ Uporaba"]
        U1[Aktivacija]
        U2[V uporabi]
    end

    subgraph END["🗑️ Konec"]
        E1[Deaktivacija]
        E2[Arhiviranje]
        E3[Uničenje]
    end

    GEN --> USE --> END

    style G1 fill:#e8f5e9
    style U2 fill:#e3f2fd
    style E3 fill:#ffcdd2
</mermaid>

----

===== Tipi ključev in hramba =====

^  Tip ključa  ^  Priporočena hramba  ^  Varnostna kopija  ^  Rotacija  ^
| **Korenski CA** | HSM (offline) | M-of-N delitev | Nikoli (20+ let) |
| **Vmesni CA** | HSM (online) | Šifrirano | 5-10 let |
| **Strežnik** | Programsko/TPM | Opcijsko | 1-2 leti |
| **Odjemalec** | Pametna kartica/TPM | Ne | 1-2 leti |

----

===== Možnosti hrambe =====

^  Možnost  ^  Varnost  ^  Zmogljivost  ^  Stroški  ^  Uporaba  ^
| **HSM** | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | €€€ | CA, kritični sistemi |
| **TPM** | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | € | Strežniki, delovne postaje |
| **Programski trezor** | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | €€ | Vsebniki, oblak |
| **Šifrirana datoteka** | ⭐⭐ | ⭐⭐⭐⭐⭐ | - | Razvoj |

----

===== Panožne zahteve =====

^  Panoga  ^  Ključ CA  ^  Končna entiteta  ^  Skladnost  ^
| **Energetika/SCADA** | HSM (offline) | TPM | NIS2, KRITIS |
| **Zdravstvo** | HSM | Pametna kartica | gematik, GDPR |
| **Avtomobilska industrija** | HSM | Varni element | UN R155 |
| **Industrija 4.0** | HSM | TPM | IEC 62443 |

----

===== Hiter začetek s kodo =====

==== Generiranje ključev ====

<code csharp>
using WvdS.Security.Cryptography.Extensions.PQ;

// ML-DSA-65 za podpise
using var signingKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);

// ML-KEM-768 za Key Encapsulation
using var kemKey = ctx.GenerateKeyPair(PqAlgorithm.MlKem768);

// Hibridni ključ (ECDSA + ML-DSA)
using var hybridKey = ctx.GenerateHybridKeyPair(
    classicAlgorithm: EcdsaCurve.P384,
    pqAlgorithm: PqAlgorithm.MlDsa65
);
</code>

==== Varna hramba ====

<code csharp>
// Shranjevanje šifriranega ključa (Argon2id KDF + AES-256-GCM)
signingKey.SaveEncrypted(
    path: "signing.key.pem",
    password: securePassword,
    kdfOptions: new KdfOptions
    {
        Algorithm = KdfAlgorithm.Argon2id,
        Iterations = 3,
        MemoryKiB = 65536,  // 64 MB
        Parallelism = 4
    }
);

// Nalaganje
using var loadedKey = ctx.LoadPrivateKey("signing.key.pem", securePassword);
</code>

==== Uničenje ključev ====

<code csharp>
// Varno uničenje (ničenje)
signingKey.Dispose();  // Prepiše pomnilnik z ničlami

// Za maksimalno varnost: eksplicitno ničenje
signingKey.SecureErase();  // Večkratno prepisovanje
signingKey.Dispose();
</code>

----

===== Kontrolni seznam Key Ceremony =====

<WRAP round important>
**Key Ceremony korenskega CA:**

  - [ ] Priprava Air-Gapped sistema
  - [ ] Priče prisotne (min. 2)
  - [ ] Aktivirano revizijsko beleženje
  - [ ] Generiranje ključa
  - [ ] Ustvarjanje M-of-N varnostne kopije (npr. 3-of-5)
  - [ ] Distribucija varnostnih kopij na različne lokacije
  - [ ] Izvoz korenskega certifikata
  - [ ] Zaustavitev in zapečatenje sistema
  - [ ] Podpis dokumentacije
</WRAP>

----

===== Povezane kategorije =====

^  Kategorija  ^  Povezava  ^
| [[.:pki:start|1. PKI infrastruktura]] | Upravljanje CA ključev |
| [[.:verwaltung:start|4. Upravljanje certifikatov]] | Re-Key ob rotaciji |
| [[.:interop:start|12. Uvoz/Izvoz]] | Izvoz ključev |

----

<< [[sl:int:pqcrypt:szenarien:tls:start|← 10. TLS/mTLS]] | [[sl:int:pqcrypt:szenarien:start|↑ Scenariji]] | [[.:interop:start|12. Uvoz/Izvoz →]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>kategorija ključ key generiranje rotacija hsm}}