Key — kriptografik algoritmning natijasini boshqaradigan parametr bo‘lib, shifrlash, deshifrlash, raqamli imzo, message authentication yoki key derivationda ishlatiladi. Algoritm odatda ochiq ma’lum bo‘ladi; himoya kalitning tegishli qismi maxfiyligiga tayanadi. “Key” atamasi database primary key, klaviatura tugmasi yoki konfiguratsiya nomini ham anglatishi mumkin, ammo kriptografiyada u aniq uzunlik va matematik xususiyatga ega byte qiymatdir.
Simmetrik kalit
Simmetrik kriptografiyada ayni secret key shifrlash va deshifrlashda ishlatiladi. AES-128 128 bit, AES-256 esa 256 bit kalit oladi. ChaCha20 256 bit key ishlatadi. Kalit kriptografik random generator bilan yaratiladi. Odam tanlagan parolni to‘g‘ridan-to‘g‘ri kalit sifatida qo‘llash entropy va uzunlik talabini bajarmaydi; parol KDF orqali salt va parametr bilan keyga aylantiriladi.
Simmetrik kalitni ikki tomon orasida oldindan xavfsiz uzatish muammosi mavjud. TLS kabi protokol public-key key exchange yordamida session secret kelishib, keyin tez simmetrik encryptionga o‘tadi. Bir session keyning compromise’i barcha tarixiy sessiyalarni ochmasligi uchun ephemeral Diffie–Hellman forward secrecy beradi.
Public va private key
Asymmetric algoritm matematik bog‘langan key pair yaratadi. Public key tarqatiladi, private key sir saqlanadi. Raqamli imzoda private key signature yaratadi, public key tekshiradi. Public-key encryption yoki key encapsulationda public key yordamida faqat private key egasi ochadigan secret hosil qilinadi.
Public keyga ishonch avtomatik emas. Sertifikat authority, oldindan o‘rnatilgan fingerprint, Web of Trust yoki transparency log uni identity bilan bog‘laydi. Hujumchi o‘z public keyini haqiqiy deb almashtira olsa, kuchli matematika man-in-the-middle hujumini to‘xtatmaydi.
Entropy va key space
n bitlik ideal tasodifiy key 2^n teng ehtimolli variantga ega. Uzun textual ko‘rinish doim yuqori entropy degani emas; base64 32 byte keyni uzunroq belgilarda ifodalaydi, lekin yangi entropy qo‘shmaydi. UUID, timestamp yoki pseudo-random generator chiqishi algoritm va seedga qarab kriptografik key uchun yaroqsiz bo‘lishi mumkin.
Algoritmdagi effective security key uzunligidan past bo‘lishi mumkin. Triple DES meet-in-the-middle hujumlari nominal bitlardan kamroq kuch beradi. RSA key uzunligi AES bilan bitma-bit solishtirilmaydi; 2048 bit RSA 2048 bit simmetrik xavfsizlik bermaydi. Standart ekvivalent security level jadvallari algoritm oilalarini muvofiqlashtiradi.
Derived va session key
Master secretdan HKDF orqali client_write_key, server_write_key va nonce materiallari kabi domain-separated subkeylar olinishi mumkin. Bitta keyni encryption, MAC va turli yo‘nalishlarda qayta ishlatish protokollararo bog‘liqlik yaratadi. Label, context va algoritm ID derivationga kiritiladi.
Session key qisqa aloqa yoki sessiya uchun yaratiladi va muddati tugagach yo‘q qilinadi. Uzoq muddatli identity key faqat session secret kelishish yoki imzolashda ishlatiladi. Bu separation uzoq muddatli keydan foydalanish sonini va bitta session compromise’ining ta’sirini kamaytiradi.
Key hayot sikli
Key yaratishdan destructiongacha inventar va ownerga ega. Active key yangi operatsiya uchun, eski key decrypt-only yoki verify-only holatda turishi mumkin. Rotation yangi versiyani chiqaradi, iste’molchilarni o‘tkazadi va eskisini siyosat bo‘yicha bekor qiladi. Key ID ciphertext yoki signature metadata’sida qaysi versiya kerakligini ko‘rsatadi.
Key source code, container image yoki logga yozilmaydi. KMS, HSM yoki secret manager access policy va audit bilan saqlaydi. Backup shifrlangan bo‘lishi va recovery sinovdan o‘tishi kerak. Private key yo‘qolsa signature yaratish yoki ciphertext ochish imkonsiz bo‘lishi mumkin; o‘g‘irlansa esa revocation va qayta keylash talab etiladi.
Yo‘q qilish va exposure
Memorydagi keyni foydalanishdan keyin zeroize qilish past darajali muhitda foydali, ammo compiler optimization, garbage collector va nusxalar sabab kafolat qiyin. Process isolation, core dumpni cheklash va minimal privilege qo‘shimcha qatlam beradi. Keyni diskdan o‘chirish backup, snapshot va replika nusxalarini avtomatik yo‘q qilmaydi.
Compromise oynasi key qachondan oshkor bo‘lgani va qaysi operatsiyalarda ishlatilgani bilan baholanadi. Encryption key sizsa, data qayta shifrlanadi; signing key sizsa, ishonchli tomonlarga revocation va yangi public key yetkaziladi. Shunchaki key nomini almashtirish haqiqiy rotation hisoblanmaydi.
Bog‘liq tushunchalar
Secret key, Public key, Private key, Key pair, Session key, Key derivation, Key management