Bosh sahifa Wiki Key management

Key management

Key management — kriptografik kalitlarni yaratish, ro‘yxatga olish, tarqatish, saqlash, ishlatish, rotation, bekor qilish, arxivlash va yo‘q qilish jarayonlari majmui. Kuchli AES yoki RSA algoritmi kalit noto‘g‘ri boshqarilsa tizimni himoya qilmaydi. Kalit hayot sikli texnik vosita, access policy, audit va favqulodda tiklash tartibini birlashtiradi.

Kalit turlari va vazifasi

Symmetric key shifrlash va deshifrlash yoki MAC yaratish va tekshirishda umumiy sir sifatida ishlaydi. Asymmetric juftlikda private key maxfiy, public key esa tarqatilishi mumkin. Data encryption key katta ma’lumotni shifrlaydi, key encryption key esa boshqa kalitlarni o‘rash uchun ishlatiladi. Bitta kalitni bir necha maqsadda ishlatmaslik key separation tamoyilidir.

Har kalit purpose, owner, algoritm, uzunlik, yaratilgan sana, holat va versiyaga ega inventar yozuvi bilan bog‘lanadi. “Key” nomli noma’lum qiymat keyinchalik qaysi ciphertext yoki xizmatga tegishli ekanini aniqlashni qiyinlashtiradi. Key ID secret bo‘lishi shart emas va ciphertext metadata’sida saqlanishi mumkin.

Yaratish va saqlash

Kalit kriptografik xavfsiz random generator bilan algoritm talabiga mos uzunlikda yaratiladi. Paroldan key olinadigan holatda Argon2id, scrypt yoki PBKDF2 salt va parametr bilan ishlatiladi. Odam tanlagan satrni to‘g‘ridan-to‘g‘ri AES kaliti qilish yetarli entropiya bermaydi.

HSM private key operatsiyasini kalit materialini tashqariga bermasdan bajarishi mumkin. Key management service API orqali generate, encrypt, decrypt, wrap va sign amallarini access policy bilan taqdim etadi. Software keystore ham disk shifrlashi va OS permissionga tayanishi mumkin, ammo root yoki process compromise tahdidi alohida baholanadi.

Envelope encryption

Katta data tasodifiy data encryption key bilan lokal AEAD algoritmida shifrlanadi. DEK key encryption key yordamida KMSda o‘raladi. Saqlashda ciphertext, wrapped DEK, nonce, tag, key ID va algoritm versiyasi birga turadi. Decryptionda KMS DEKni ochadi, dastur esa data’ni qayta ishlaydi.

Bu model har obyektga alohida DEK berish va markaziy KEKni rotation qilishni osonlashtiradi. KEK rotation ba’zan faqat wrapped DEKni qayta o‘rash bilan bajariladi; terabayt ma’lumotni to‘liq qayta shifrlash shart emas. Agar data algoritmi yoki DEK compromise bo‘lsa, to‘liq re-encryption kerak bo‘lishi mumkin.

Rotation va holatlar

Kalit active, decrypt-only, revoked yoki destroyed kabi holatlarga ega bo‘lishi mumkin. Yangi shifrlash faqat active versiya bilan bajariladi, eski ciphertextni o‘qish uchun avvalgi versiya decrypt-only saqlanadi. Kalitni darhol yo‘q qilish unga bog‘liq data’ni tiklab bo‘lmas holga keltirishi mumkin.

Rotation jadval bo‘yicha yoki compromise hodisasida bajariladi. Yangi key yaratishning o‘zi iste’molchilarni o‘tkazmaydi; konfiguratsiya, cache va uzoq ishlovchi processlar yangilanishi tekshiriladi. Certificate yoki signing key rotatsiyasida verifikatorlar yangi public keyni oldindan olish uchun overlap davri talab qiladi.

Ruxsat va audit

Least privilege bo‘yicha xizmat faqat kerakli key va amalga ega: writer encrypt, reader decrypt, build pipeline sign qilishi mumkin. Administrator key policy’ni boshqarishi, lekin plaintext data’ni o‘qimasligi uchun vazifalar ajratiladi. Yuqori qiymatli key uchun quorum yoki ikki tomonli tasdiq qo‘llanishi mumkin.

Audit key yaratish, policy o‘zgarishi, decrypt/sign amali, rotation va destructionni qayd etadi. Log secret key byte’larini saqlamaydi. G‘ayrioddiy ko‘p decrypt, odatda ishlatilmaydigan region yoki yangi identity signali incident tekshiruvini boshlaydi.

Backup va yo‘q qilish

Kalit backupi shifrlangan data backupidan alohida va teng darajada himoyalanadi. Backup bor, lekin recovery sinovdan o‘tmagan bo‘lsa, format yoki access yo‘qolishi kech aniqlanadi. Shamir Secret Sharing kabi usul recovery secretini bir nechta ulushga bo‘lib, belgilangan thresholdni talab qilishi mumkin.

Crypto-shredding kalitni xavfsiz yo‘q qilib, unga bog‘liq ciphertextni amalda o‘qib bo‘lmas qiladi. Nusxalar, backup, HSM replika va memory dumpdagi key material ham scope’ga kiradi. Regulatory retention sabab keyni saqlash talab qilinsa, u active ishlatishdan ajratilgan arxiv holatida qoladi.

Bog‘liq tushunchalar

Encryption key, Key rotation, HSM, KMS, Envelope encryption, Key derivation, Crypto-shredding