11. Upravljanje ključevima

Scenariji: 5
FFI funkcije: ~40
Status: Planirano

Ova kategorija obuhvaća sve scenarije za upravljanje kriptografskim ključevima. Generiranje, rotacija, sigurna pohrana i uništavanje.

Scenariji

ID	Scenarij	Opis	Složenost	Status
11.1	Generiranje ključeva	ML-DSA, ML-KEM, Hibridni	⭐⭐	⏳
11.2	Sigurna pohrana	HSM, TPM, Software-Vault	⭐⭐⭐⭐	⏳
11.3	Rotacija ključeva	Planirano obnavljanje ključeva	⭐⭐⭐	⏳
11.4	Sigurnosna kopija ključeva	Šifrirano sigurnosno kopiranje, oporavak	⭐⭐⭐	⏳
11.5	Uništavanje ključeva	Sigurno brisanje, Zeroizacija	⭐⭐⭐	⏳

Životni ciklus ključeva

flowchart LR subgraph GEN["🔑 Generiranje"] G1[Generiranje ključa] G2[Kreiranje sigurnosne kopije] end subgraph USE["⚙️ Korištenje"] U1[Aktivacija] U2[U uporabi] end subgraph END["🗑️ Kraj"] E1[Deaktivacija] E2[Arhiviranje] E3[Uništavanje] end GEN --> USE --> END style G1 fill:#e8f5e9 style U2 fill:#e3f2fd style E3 fill:#ffcdd2

Tipovi ključeva i pohrana

Tip ključa	Preporučena pohrana	Sigurnosna kopija	Rotacija
Root-CA	HSM (Offline)	M-of-N Split	Nikad (20+ godina)
Intermediate-CA	HSM (Online)	Šifrirano	5-10 godina
Server	Software/TPM	Opcionalno	1-2 godine
Klijent	Smart Card/TPM	Ne	1-2 godine

Opcije pohrane

Opcija	Sigurnost	Performanse	Trošak	Primjena
HSM	⭐⭐⭐⭐⭐	⭐⭐⭐	€€€	CA, Kritični sustavi
TPM	⭐⭐⭐⭐	⭐⭐⭐⭐	€	Serveri, Radne stanice
Software Vault	⭐⭐⭐	⭐⭐⭐⭐⭐	€€	Kontejneri, Cloud
Šifrirana datoteka	⭐⭐	⭐⭐⭐⭐⭐	-	Razvoj

Zahtjevi specifični za industriju

Industrija	CA-ključevi	End-Entity	Usklađenost
Energetika/SCADA	HSM (Offline)	TPM	NIS2, KRITIS
Zdravstvo	HSM	Smart Card	gematik, GDPR
Automobilska	HSM	Secure Element	UN R155
Industrija 4.0	HSM	TPM	IEC 62443

Brzi početak s kodom

Generiranje ključeva

using WvdS.Security.Cryptography.Extensions.PQ;
 
// ML-DSA-65 za potpise
using var signingKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);
 
// ML-KEM-768 za Key Encapsulation
using var kemKey = ctx.GenerateKeyPair(PqAlgorithm.MlKem768);
 
// Hibridni ključ (ECDSA + ML-DSA)
using var hybridKey = ctx.GenerateHybridKeyPair(
    classicAlgorithm: EcdsaCurve.P384,
    pqAlgorithm: PqAlgorithm.MlDsa65
);

Sigurna pohrana

// Šifrirano spremanje ključa (Argon2id KDF + AES-256-GCM)
signingKey.SaveEncrypted(
    path: "signing.key.pem",
    password: securePassword,
    kdfOptions: new KdfOptions
    {
        Algorithm = KdfAlgorithm.Argon2id,
        Iterations = 3,
        MemoryKiB = 65536,  // 64 MB
        Parallelism = 4
    }
);
 
// Učitavanje
using var loadedKey = ctx.LoadPrivateKey("signing.key.pem", securePassword);

Uništavanje ključeva

// Sigurno uništavanje (Zeroizacija)
signingKey.Dispose();  // Prepisuje memoriju nulama
 
// Za maksimalnu sigurnost: Eksplicitna Zeroizacija
signingKey.SecureErase();  // Višestruko prepisivanje
signingKey.Dispose();

Kontrolna lista Key Ceremony

Root-CA Key Ceremony:

[ ] Priprema Air-Gapped sustava
[ ] Prisutni svjedoci (min. 2)
[ ] Aktivirano Audit-Logging
[ ] Generiranje ključeva
[ ] Kreiranje M-of-N sigurnosne kopije (npr. 3-of-5)
[ ] Distribucija sigurnosnih kopija na različite lokacije
[ ] Izvoz Root certifikata
[ ] Isključivanje i pečaćenje sustava
[ ] Potpisivanje dokumentacije

Povezane kategorije

Kategorija	Odnos
1. PKI infrastruktura	Upravljanje CA ključevima
4. Upravljanje certifikatima	Re-Key kod rotacije
12. Uvoz/Izvoz	Izvoz ključeva

« ← 10. TLS/mTLS | ↑ Scenariji | 12. Uvoz/Izvoz → »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

kategorija, ključ, key, generiranje, rotacija, hsm