11. Schlüsselmanagement
Szenarien: 5
FFI-Funktionen: ~40
Status: ⏳ Geplant
Diese Kategorie umfasst alle Szenarien zum Management kryptographischer Schlüssel. Generierung, Rotation, sichere Speicherung und Vernichtung.
Szenarien
| ID | Szenario | Beschreibung | Komplexität | Status |
|---|---|---|---|---|
| 11.1 | Schlüssel generieren | ML-DSA, ML-KEM, Hybrid | ⭐⭐ | ⏳ |
| 11.2 | Sichere Speicherung | HSM, TPM, Software-Vault | ⭐⭐⭐⭐ | ⏳ |
| 11.3 | Schlüssel-Rotation | Geplante Schlüsselerneuerung | ⭐⭐⭐ | ⏳ |
| 11.4 | Schlüssel-Backup | Verschlüsseltes Backup, Recovery | ⭐⭐⭐ | ⏳ |
| 11.5 | Schlüssel vernichten | Sichere Löschung, Zeroization | ⭐⭐⭐ | ⏳ |
Schlüssel-Lebenszyklus
flowchart LR
subgraph GEN["🔑 Generierung"]
G1[Schlüssel generieren]
G2[Backup erstellen]
end
subgraph USE["⚙️ Nutzung"]
U1[Aktivieren]
U2[In Verwendung]
end
subgraph END["🗑️ Ende"]
E1[Deaktivieren]
E2[Archivieren]
E3[Vernichten]
end
GEN --> USE --> END
style G1 fill:#e8f5e9
style U2 fill:#e3f2fd
style E3 fill:#ffcdd2
Schlüsseltypen und Speicherung
| Schlüsseltyp | Empfohlene Speicherung | Backup | Rotation |
|---|---|---|---|
| Root-CA | HSM (Offline) | M-of-N Split | Nie (20+ Jahre) |
| Intermediate-CA | HSM (Online) | Verschlüsselt | 5-10 Jahre |
| Server | Software/TPM | Optional | 1-2 Jahre |
| Client | Smart Card/TPM | Nein | 1-2 Jahre |
Speicheroptionen
| Option | Sicherheit | Performance | Kosten | Einsatz |
|---|---|---|---|---|
| HSM | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | €€€ | CA, Kritische Systeme |
| TPM | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | € | Server, Workstations |
| Software Vault | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | €€ | Container, Cloud |
| Verschlüsselte Datei | ⭐⭐ | ⭐⭐⭐⭐⭐ | - | Entwicklung |
Branchenspezifische Anforderungen
| Branche | CA-Schlüssel | End-Entity | Compliance |
|---|---|---|---|
| Energie/SCADA | HSM (Offline) | TPM | NIS2, KRITIS |
| Healthcare | HSM | Smart Card | gematik, DSGVO |
| Automotive | HSM | Secure Element | UN R155 |
| Industrie 4.0 | HSM | TPM | IEC 62443 |
Code-Schnellstart
Schlüssel generieren
using WvdS.Security.Cryptography.Extensions.PQ; // ML-DSA-65 für Signaturen using var signingKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65); // ML-KEM-768 für Key Encapsulation using var kemKey = ctx.GenerateKeyPair(PqAlgorithm.MlKem768); // Hybrid-Schlüssel (ECDSA + ML-DSA) using var hybridKey = ctx.GenerateHybridKeyPair( classicAlgorithm: EcdsaCurve.P384, pqAlgorithm: PqAlgorithm.MlDsa65 );
Sichere Speicherung
// Schlüssel verschlüsselt speichern (Argon2id KDF + AES-256-GCM) signingKey.SaveEncrypted( path: "signing.key.pem", password: securePassword, kdfOptions: new KdfOptions { Algorithm = KdfAlgorithm.Argon2id, Iterations = 3, MemoryKiB = 65536, // 64 MB Parallelism = 4 } ); // Laden using var loadedKey = ctx.LoadPrivateKey("signing.key.pem", securePassword);
Schlüssel vernichten
// Sichere Vernichtung (Zeroization) signingKey.Dispose(); // Überschreibt Speicher mit Nullen // Für maximale Sicherheit: Explicit Zeroize signingKey.SecureErase(); // Mehrfach überschreiben signingKey.Dispose();
Key Ceremony Checkliste
Root-CA Key Ceremony:
- [ ] Air-Gapped System vorbereiten
- [ ] Zeugen anwesend (min. 2)
- [ ] Audit-Logging aktiviert
- [ ] Schlüssel generieren
- [ ] M-of-N Backup erstellen (z.B. 3-of-5)
- [ ] Backups an verschiedene Orte verteilen
- [ ] Root-Zertifikat exportieren
- [ ] System herunterfahren und versiegeln
- [ ] Dokumentation unterschreiben
Verwandte Kategorien
| Kategorie | Beziehung |
|---|---|
| 1. PKI-Infrastruktur | CA-Schlüssel verwalten |
| 4. Zertifikate verwalten | Re-Key bei Rotation |
| 12. Import/Export | Schlüssel exportieren |
« ← 10. TLS/mTLS | ↑ Szenarien | 12. Import/Export → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: den 29.01.2026 um 15:13
