11. Upravljanje ključev

Scenariji: 5
FFI funkcije: ~40
Status: ⏳ Načrtovano

Ta kategorija zajema vse scenarije za upravljanje kriptografskih ključev. Generiranje, rotacija, varna hramba in uničenje.

Scenariji

ID	Scenarij	Opis	Kompleksnost	Status
11.1	Generiranje ključev	ML-DSA, ML-KEM, hibridni	⭐⭐	⏳
11.2	Varna hramba	HSM, TPM, programski trezor	⭐⭐⭐⭐	⏳
11.3	Rotacija ključev	Načrtovana obnova ključev	⭐⭐⭐	⏳
11.4	Varnostna kopija ključev	Šifrirano varnostno kopiranje, obnovitev	⭐⭐⭐	⏳
11.5	Uničenje ključev	Varno brisanje, ničenje	⭐⭐⭐	⏳

Življenjski cikel ključev

flowchart LR subgraph GEN["🔑 Generiranje"] G1[Generiranje ključa] G2[Ustvarjanje varnostne kopije] end subgraph USE["⚙️ Uporaba"] U1[Aktivacija] U2[V uporabi] end subgraph END["🗑️ Konec"] E1[Deaktivacija] E2[Arhiviranje] E3[Uničenje] end GEN --> USE --> END style G1 fill:#e8f5e9 style U2 fill:#e3f2fd style E3 fill:#ffcdd2

Tipi ključev in hramba

Tip ključa	Priporočena hramba	Varnostna kopija	Rotacija
Korenski CA	HSM (offline)	M-of-N delitev	Nikoli (20+ let)
Vmesni CA	HSM (online)	Šifrirano	5-10 let
Strežnik	Programsko/TPM	Opcijsko	1-2 leti
Odjemalec	Pametna kartica/TPM	Ne	1-2 leti

Možnosti hrambe

Možnost	Varnost	Zmogljivost	Stroški	Uporaba
HSM	⭐⭐⭐⭐⭐	⭐⭐⭐	€€€	CA, kritični sistemi
TPM	⭐⭐⭐⭐	⭐⭐⭐⭐	€	Strežniki, delovne postaje
Programski trezor	⭐⭐⭐	⭐⭐⭐⭐⭐	€€	Vsebniki, oblak
Šifrirana datoteka	⭐⭐	⭐⭐⭐⭐⭐	-	Razvoj

Panožne zahteve

Panoga	Ključ CA	Končna entiteta	Skladnost
Energetika/SCADA	HSM (offline)	TPM	NIS2, KRITIS
Zdravstvo	HSM	Pametna kartica	gematik, GDPR
Avtomobilska industrija	HSM	Varni element	UN R155
Industrija 4.0	HSM	TPM	IEC 62443

Hiter začetek s kodo

Generiranje ključev

using WvdS.Security.Cryptography.Extensions.PQ;
 
// ML-DSA-65 za podpise
using var signingKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);
 
// ML-KEM-768 za Key Encapsulation
using var kemKey = ctx.GenerateKeyPair(PqAlgorithm.MlKem768);
 
// Hibridni ključ (ECDSA + ML-DSA)
using var hybridKey = ctx.GenerateHybridKeyPair(
    classicAlgorithm: EcdsaCurve.P384,
    pqAlgorithm: PqAlgorithm.MlDsa65
);

Varna hramba

// Shranjevanje šifriranega ključa (Argon2id KDF + AES-256-GCM)
signingKey.SaveEncrypted(
    path: "signing.key.pem",
    password: securePassword,
    kdfOptions: new KdfOptions
    {
        Algorithm = KdfAlgorithm.Argon2id,
        Iterations = 3,
        MemoryKiB = 65536,  // 64 MB
        Parallelism = 4
    }
);
 
// Nalaganje
using var loadedKey = ctx.LoadPrivateKey("signing.key.pem", securePassword);

Uničenje ključev

// Varno uničenje (ničenje)
signingKey.Dispose();  // Prepiše pomnilnik z ničlami
 
// Za maksimalno varnost: eksplicitno ničenje
signingKey.SecureErase();  // Večkratno prepisovanje
signingKey.Dispose();

Kontrolni seznam Key Ceremony

Key Ceremony korenskega CA:

[ ] Priprava Air-Gapped sistema
[ ] Priče prisotne (min. 2)
[ ] Aktivirano revizijsko beleženje
[ ] Generiranje ključa
[ ] Ustvarjanje M-of-N varnostne kopije (npr. 3-of-5)
[ ] Distribucija varnostnih kopij na različne lokacije
[ ] Izvoz korenskega certifikata
[ ] Zaustavitev in zapečatenje sistema
[ ] Podpis dokumentacije

Povezane kategorije

Kategorija	Povezava
1. PKI infrastruktura	Upravljanje CA ključev
4. Upravljanje certifikatov	Re-Key ob rotaciji
12. Uvoz/Izvoz	Izvoz ključev

« ← 10. TLS/mTLS | ↑ Scenariji | 12. Uvoz/Izvoz → »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

kategorija, ključ, key, generiranje, rotacija, hsm