La gestione delle chiavi è il processo di controllo dell’accesso e di verifica delle chiavi in un sistema crittografico. In crittografia, le informazioni vengono codificate utilizzando un cifrario. Questo cifrario mescola le informazioni in un modo molto specifico che consente a chiunque disponga della chiave corretta di decodificare i dati e riportarli alla loro forma originale. Una corretta gestione delle chiavi è essenziale per conservare le chiavi nei luoghi in cui devono essere e verificare che le chiavi siano corrette prima di decodificare le informazioni.
Le chiavi sono l’anello più debole in un sistema crittografico. È possibile creare un codice così ambiguo o complesso da non essere mai violato, ma se nessuno può decodificarlo, tutte le informazioni codificate vengono perse. Affinché il codice funzioni correttamente, ha bisogno di una chiave. Qualsiasi luogo in cui il codice necessiterà di essere decodificato richiede una copia dello stesso, e ognuno di questi luoghi è un luogo in cui si può abusare della chiave.
Per prevenire il furto o la contraffazione delle chiavi, la crittografia utilizza due metodi; programmazione e gestione delle chiavi. Una pianificazione chiave è l’aspetto interno di una chiave nel materiale codificato. Queste chiavi spesso interagiscono con quelle esterne per verificare l’autenticità della chiave e generare sottochiavi per accedere ai dati codificati all’interno dei dati codificati. Poiché le pianificazioni chiave generalmente richiedono una chiave autentica per funzionare, sono spesso viste come chiavi a basso rischio.
A livello di base, la gestione delle chiavi riguarda la protezione dell’accesso alla chiave quando è inattiva e quando è in uso. In un sistema comune, le chiavi sono conservate in un luogo sicuro e offline. Prima dei computer, questa era spesso un’area ad accesso limitato, ora è in genere un sistema informatico non in rete. Quando la chiave è necessaria, il server delle chiavi si collegherà alla rete, inserirà le informazioni corrette e si disconnetterà. È solo durante l’effettivo utilizzo della chiave che i sistemi si connetteranno. Ciò limita il tempo che un potenziale ladro può utilizzare per accedere al sistema.
Un sistema di gestione delle chiavi si estende oltre le informazioni. Una gestione corretta implica la limitazione dell’accesso personale alle posizioni di archiviazione delle chiavi, aggiornamenti casuali delle chiavi e server di archiviazione delle chiavi codificate. Un vero sistema di gestione coinvolge ogni aspetto dell’accesso alla rete e della gestione del personale. Di conseguenza, i sistemi di gestione delle chiavi su larga scala sono difficili da implementare e costosi da controllare.
Questo problema è spesso aggravato dall’errore umano. I lavoratori non adeguatamente formati sottovaluteranno la limitazione dell’accesso alle chiavi e lasceranno strade aperte per il furto. La supervisione del reparto avrà spesso conflitti, poiché la gestione delle chiavi potenzialmente rientra nell’ambito dei reparti di tecnologia dell’informazione, contabilità e sicurezza interna. Ciò farà sì che il sistema abbia troppi manager, creando conflitti di policy, o troppo pochi, poiché ogni dipartimento sente che l’altro ha tutto sotto controllo.