密鑰管理的內容特別豐富,覆蓋了密鑰的整個生命周期,所有管理過程都是無誤地維護密鑰從生成到銷毀的安全性與實用性。密鑰管理主要包括以下幾個方面等。

1.密鑰的生成

種類不一樣的密鑰產生的方法不一樣。基本密鑰是控制與產生其他加密密鑰的密鑰,它的安全性特別關鍵,一定要確保它的完全隨機性、不可重複性與不可預測性。會話密鑰可藉助某加密算法動態地產生。密鑰加密密鑰可由密鑰生成器自動產生,常用的密鑰生成器有隨機比特或偽隨機數2種生成器,也可藉助主密鑰管控下的某種算法生成。任意密鑰生成器生成的密鑰均存在周期性和被預測的危險,作為主密鑰不適合。主密鑰一般採用像擲硬幣、擲骰子或在隨機數表中選數等途徑產生,來確保密鑰的隨機性,避免可預測性的出現。

2.密鑰的保存

密碼系統中生成的密鑰眾多,且它們多數時間是靜態的,所以密鑰的保存為密鑰管理的重要內容。密鑰的存儲一定要確保其機密性、認證性與完整性,避免遭受泄露與篡改。

具體保存方法有人工記憶、外部記憶裝置、密鑰恢復、系統內部保存、把密鑰存儲在硬件的介質上等。這些方法中最簡單、安全的方法是把自己的口令與密碼記在大腦里,只是使用不方便,一定得有人工干預。另一種簡單的方法是藉助易記的口令進行加密保存,使密鑰永遠不以未加密的方式出現在設備外,可提高實際使用密鑰的安全強度。另外,相對好的存儲措施是把密鑰存於磁條卡上,或嵌進ROM晶片裡,這樣用戶在使用時自己都不知道密鑰是什麼;還能把密鑰分成兩半,就是說磁條卡上與終端機中各存二分之一。

3.密鑰的分配

密鑰的分配指的是使用者獲取密鑰的過程。典型的密鑰分配方式主要有集中式與分佈式。集中式分配主要顺利获得密鑰分配中心由用戶的要求傳送密鑰,這此時得借主密鑰對傳遞會話密鑰進行保護,並由安全渠道傳送主密鑰。分佈式分配由網絡中各主機相互間的協商來分配密鑰,例如可把密鑰分解為多個部分,借秘密分享的手段傳遞,只需有部分到達就能恢復,這種方法適合在不安全的信道中傳輸密鑰使用。

4.密鑰的撤銷

密鑰均有一定有效期,密鑰使用時間不能過長,否則泄露的機會會加大。只要泄露,用此密鑰的時間越久,損失也會越大。因此,用了密鑰一段時間後,若存在和密鑰有關的系統有安全問題,存在某一密鑰已遭遇威脅或已知密鑰的安全級別不夠高等情況的疑惑時,該密鑰應被撤銷並不能再使用。在密鑰銷毀過程中,應找到在沒有用存儲區上的密鑰副本,且刪除它們,還得刪除全部臨時文件或交換文件的內容。要粉碎寫在紙上的密鑰,對在介質上的密鑰需進行反覆沖寫操作。