Sie befinden sich hier: start » sl » Interna dokumentacija » Kriptografska knjižnica WvdS » 6. Scenariji » 11. Upravljanje ključev » Scenarij 11.3: Rotacija ključev

Scenarij 11.3: Rotacija ključev

Kategorija: Upravljanje ključev
Kompleksnost: ⭐⭐⭐⭐ (Visoka)
Predpogoji: Obstoječi ključi, strategija varnostnih kopij
Predviden čas: 30-45 minut

Opis

Ta scenarij opisuje redno rotacijo kriptografskih ključev. Rotacija ključev je kritičen varnostni ukrep, ki omejuje tveganje kompromitacije.

Razlogi za rotacijo:

  • Časovno pogojeno - Dosežena maksimalna življenjska doba ključa
  • Pogojeno z uporabo - Maksimalno število operacij/obseg podatkov
  • Varnostni incident - Sum kompromitacije
  • Skladnost - Regulativne zahteve
  • Nadgradnja algoritma - Migracija na močnejše algoritme

Potek dela

flowchart TD TRIGGER[Sprožilec rotacije] --> CHECK{Potrebna rotacija?} CHECK -->|Ne| WAIT[Čakanje] CHECK -->|Da| BACKUP[Varnostna kopija starega ključa] BACKUP --> GEN[Generiranje novega ključa] GEN --> MIGRATE[Migracija sistemov] MIGRATE --> TEST[Funkcijski test] TEST --> OVERLAP{Prekrivanje OK?} OVERLAP -->|Da| RETIRE[Deaktivacija starega ključa] OVERLAP -->|Ne| ROLLBACK[Povrnitev] RETIRE --> ARCHIVE[Arhiviranje/Brisanje] style GEN fill:#e8f5e9 style BACKUP fill:#fff3e0

Smernice za rotacijo

Tip ključa Maks. starost Maks. operacije Prekrivanje
Ključ korenskega CA 10-20 let N/A 1 leto
Ključ vmesnega CA 3-5 let N/A 90 dni
Ključ TLS strežnika 1 leto 10M rokovanj 7 dni
Ključ za podpisovanje kode 2 leti 100K podpisov 30 dni
Šifrirni ključ 1 leto 100TB podatkov 30 dni

Panožne zahteve za rotacijo

Panoga Cikel rotacije Zahteva Posebnost
Finančni sektor 1 leto PCI-DSS 3.6.4 Obvezna revizijska sled
Zdravstvo 2 leti HIPAA Key Escrow
Energetika/KRITIS 3 leta BSI KRITIS-VO Vzdrževalno okno
Organi oblasti 2 leti BSI TR-03116 HSM obvezen

Povezani scenariji

Povezava Scenarij Opis
Predpogoj 11.2 Hramba ključev Varna hramba
Predpogoj 11.4 Varnostna kopija ključev Varnostna kopija pred rotacijo
Naslednji korak 11.5 Uničenje ključev Brisanje starih ključev
Povezano 4.2 Rekey Certifikat z novim ključem

« ← 11.2 Hramba ključev | ↑ Pregled ključev | 11.4 Varnostna kopija ključev → »

, , , ,

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

Zuletzt geändert: dne 30.01.2026 ob 06:36

Seiten-Werkzeuge