1.5 密鑰管理

密鑰是密碼系統的核心，保護密鑰至關重要。密鑰管理是指密鑰全生命周期的管理，涉及密鑰的產生、分發、存儲、使用、更新、歸檔、撤銷、備份、恢復和銷毀等環節。有效的密鑰管理是確保數據安全、防止未經授權的訪問與避免數據泄露的關鍵。

密鑰管理需對密鑰的整個生命周期進行保護。密鑰的生命周期指密鑰經歷的一系列狀態，具體如下。

1）待激活：在待激活狀態，密鑰已生成，但尚未激活使用。

2）激活：在激活狀態，密鑰用于加密、解密或驗證數據。

3）掛起：在掛起狀態，密鑰僅用于解密或驗證。

若明確某個密鑰已受到威脅，應立即將密鑰狀態變為掛起狀態，之后該密鑰僅可用于解密或驗證狀態變化前收到的數據，不可用于其他場景。需要注意的是，確定受到威脅的密鑰不能被再次激活。當密鑰確定受到未經授權的訪問或控制時，可認為該密鑰受到威脅。密鑰生命周期中的狀態如圖1-6所示。

密鑰的有效性應在時間和使用次數上受到限制。用于派生密鑰的原始密鑰比生成密鑰需要更多的保護，同時應避免密鑰亂用，如使用密鑰的加密密鑰去加密數據等。

密鑰狀態轉換指密鑰從一個狀態遷移到另一個狀態。密鑰狀態如下。

1）生成：應根據指定的密鑰生成規則生成密鑰。密鑰生成過程中使用的隨機數生成器應滿足相關標準。

2）激活：使密鑰有效，可用于密碼運算。

3）釋放：限制密鑰的使用，密鑰過期或被撤銷都會發生這種情況。

4）再激活：允許掛起的密鑰重新用于密碼運算。

5）銷毀：終止密鑰的生命周期，包括對密鑰的邏輯銷毀，也可包括物理銷毀。

密鑰狀態轉換由以下事件觸發：需要新密鑰、密鑰受威脅、密鑰過期、密鑰生命周期結束等。密鑰管理涉及多種密鑰狀態轉換與服務。

1）對稱密碼技術：密鑰生成后，從待激活狀態到激活狀態的轉換包括密鑰安裝，也可包括密鑰的注冊和分發。在某些情況下，安裝涉及派生一個特殊的密鑰。密鑰的生命周期應限制在一個固定的期限內。通常，釋放終止激活狀態是因為密鑰過期。如果發現處于激活狀態的密鑰受到威脅，撤銷該密鑰可使它進入掛起狀態。一個處于掛起狀態的密鑰可被歸檔。如果在某些條件下需再次使用已歸檔的密鑰，它將被再激活，在它完全激活前，可能需再次安裝和分發；否則，釋放后，密鑰可能會被注銷和銷毀。

2）非對稱加密技術：密鑰（公鑰和私鑰）對生成后會進入待激活狀態。注意，這對密鑰的生命周期有關聯但不相同。在私鑰進入激活狀態之前，注冊和分發給用戶是可選的，但安裝是必需的。私鑰在激活狀態和掛起狀態間的轉換，包括釋放、再激活和銷毀，與上述對稱密鑰的情形類似。當簽發公鑰時，通常由CA生成一個包含公鑰的證書，以確保公鑰的有效性和所有權。該公鑰證書可放在目錄中或其他類似服務中用于分發，或傳回給所有者進行分發。當所有者發送用其私鑰簽名的數據時，也可附上證書。一旦公鑰被驗證，該密鑰對就進入激活狀態。當密鑰對用于數字簽名時，在私鑰釋放或銷毀后，相應的公鑰可能不定期地處于激活狀態或掛起狀態。為了驗證相關私鑰在原定的有效期內產生的數字簽名，我們可能需要訪問公鑰。當采用非對稱技術實現保密服務，且用于加密的密鑰已釋放或被銷毀時，密鑰對中的密鑰仍可能處于激活或掛起狀態，以便后續的解密。對于簽名密鑰，對應的公鑰將處于激活或掛起狀態；對于加密密鑰，對應的私鑰將處于激活或掛起狀態。