密鑰是加密運(yùn)算和解密運(yùn)算的關(guān)鍵，也是密碼系統(tǒng)的關(guān)鍵。根據(jù)近代密碼體制的觀點(diǎn)，密碼系統(tǒng)的安全取決于密鑰的安全，而不是密鑰算法或保密裝置本身的安全。密碼體制可以公開(kāi)，密碼設(shè)備可以丟失，同一型號(hào)的加密設(shè)備可以繼續(xù)使用，但若密鑰一旦丟失或出錯(cuò)，就會(huì)使非法用戶竊取信息，將密鑰泄露給他人意味著加密文檔還不如使用明文，因此密鑰管理在計(jì)算機(jī)的安全保密系統(tǒng)的設(shè)計(jì)中極為重要。

　　密鑰管理是指綜合了密鑰的產(chǎn)生、分配、存儲(chǔ)、組織、使用、銷毀等一系列技術(shù)問(wèn)題的管理，同時(shí)又包含了行政管理和人員素質(zhì)問(wèn)題的管理。

　　密鑰管理的根本意圖在于提高系統(tǒng)的安全保密程度。一個(gè)良好的密鑰管理系統(tǒng)，尤其是密鑰的生成與分配，應(yīng)當(dāng)盡量減少人的直接干預(yù)，做到：

　　1、密鑰難以被非法竊取。

　　2、在一定條件下，即使被竊取了也無(wú)用。

　　3、密鑰分配和更換的過(guò)程對(duì)用戶來(lái)說(shuō)是透明的，用戶不一定親自掌握密鑰。

　　密鑰保護(hù)技術(shù)涉及密鑰的傳送、注入、存儲(chǔ)、使用、更換、銷毀等多個(gè)方面，以下簡(jiǎn)要介紹在密鑰管理中密鑰保護(hù)的幾個(gè)基本問(wèn)題：

　　1、密鑰的注入。加密設(shè)備里的最高層密鑰(主密鑰或一級(jí)密鑰)通常都需要以人工的方式裝入。把密鑰裝入到加密設(shè)備里去經(jīng)常采用的方式有：鍵盤輸入、軟盤輸入、專用的密鑰注入設(shè)備(即密鑰槍)輸入。密鑰除了正在進(jìn)行加密操作的情況，其他情況應(yīng)當(dāng)一律以加密保護(hù)的形式存放。密鑰的注入過(guò)程應(yīng)有一個(gè)封閉的工作環(huán)境，所有接近密鑰注人工作的人員應(yīng)當(dāng)是絕對(duì)安全的，不存在可被竊聽(tīng)裝置接收的電磁或其他輻射。

　　采用密鑰槍或密鑰軟盤應(yīng)與鍵盤輸入的口令相結(jié)合，只有在輸入了合法的加密操作口令后才能激活密鑰槍或軟盤里的密鑰信息，所以應(yīng)當(dāng)建立一定的接口規(guī)約。在密鑰注入過(guò)程完成后，不允許存在任何可能導(dǎo)出密鑰的殘留信息，比如應(yīng)將內(nèi)存中使用過(guò)的存儲(chǔ)區(qū)清零。當(dāng)使用密鑰注入設(shè)備用于遠(yuǎn)距離傳遞密鑰時(shí)，注入設(shè)備本身應(yīng)設(shè)計(jì)成像加密設(shè)備那樣的封閉式的物理、邏輯單元。在可能的條件下，重要的密鑰可采取由多人、多批次分開(kāi)完成注入，這種方式的代價(jià)較高，但提供了多密鑰的加密環(huán)境。密鑰注入的內(nèi)容應(yīng)不能被顯示出來(lái)。為了掌握密鑰注入的過(guò)程，所有的密鑰應(yīng)按照編號(hào)進(jìn)行管理，而這些編號(hào)是公開(kāi)的，可顯示的。

　　2、密鑰的存儲(chǔ)。在密鑰注入以后，所有存儲(chǔ)在加密設(shè)備里的密鑰平時(shí)都應(yīng)以加密的形式存放，而對(duì)這些密鑰解密的操作口令應(yīng)該由密碼操作人員掌握。這樣即使裝有密鑰的加密設(shè)備被破譯者拿到，也可以保證密鑰系統(tǒng)的安全。

　　加密設(shè)備應(yīng)有一定的物理保護(hù)措施。一部分最重要的密鑰信息應(yīng)采用掉電保護(hù)措施，使得在任何情況下只要一拆開(kāi)加密設(shè)備，這部分密鑰就會(huì)自動(dòng)丟失。如果采用軟件加密的形式，應(yīng)有一定的軟件保護(hù)措施。重要的加密設(shè)備應(yīng)有緊急情況下清除密鑰的設(shè)計(jì)。在可能的情況下，應(yīng)有對(duì)加密設(shè)備進(jìn)行非法使用的審計(jì)的設(shè)計(jì)，把非法口令輸入等事件的產(chǎn)生時(shí)間等記錄下來(lái)。高級(jí)的專用加密裝置應(yīng)做到：無(wú)論通過(guò)直觀的、電子的或其他方法(X射線、電子顯微鏡)都不可能從密碼設(shè)備中讀出信息。對(duì)當(dāng)前使用的密鑰應(yīng)有密鑰的合法性驗(yàn)證措施，以防止密鑰被篡改。

　　3、密鑰的有效期。密鑰不能無(wú)限期地使用，密鑰的使用時(shí)間越長(zhǎng)，它泄露的機(jī)會(huì)就越大。而且一旦泄露，損失就越大。不同的密鑰應(yīng)有不同的有效期，基于連接的系統(tǒng)如電話，就是把通話時(shí)間作為密鑰有效期，當(dāng)再次通話時(shí)就啟動(dòng)新的密鑰。密鑰加密密鑰無(wú)需頻繁更換，因?yàn)樗麄冎皇桥紶栠M(jìn)行密鑰交換。而用來(lái)加密保存數(shù)據(jù)文件的加密密鑰不能經(jīng)常地交換，因?yàn)槲募梢约用苜A藏在磁盤上數(shù)月或數(shù)年。公開(kāi)密鑰應(yīng)用中私人密鑰的有效期是根據(jù)應(yīng)用的不同而變化的，用于數(shù)字簽名和身份識(shí)別的私人密鑰必須持續(xù)數(shù)年甚至終身，用于拋擲硬幣協(xié)議的私人密鑰在協(xié)議完成之后就應(yīng)立即銷毀。

　　4、密鑰的更換。一旦密鑰有效期到，必須清除原密鑰存儲(chǔ)區(qū)，或者用隨機(jī)產(chǎn)生的噪聲進(jìn)行重寫。但為了保證加密設(shè)備能連續(xù)工作，也可以設(shè)計(jì)成新密鑰生效后，舊密碼還繼續(xù)保持一段時(shí)間，以防止在更換密鑰期間出現(xiàn)不能解密的死報(bào)。

　　在密鑰更換過(guò)程中不應(yīng)產(chǎn)生設(shè)備服務(wù)的中斷。密鑰更換可以采用批密鑰的方式，即一次性注人多個(gè)密鑰，在更換密鑰時(shí)可按照一個(gè)密鑰生效，另一個(gè)密鑰廢除的形式進(jìn)行。替代的次序可采用密鑰的序號(hào)。如果批密鑰的生效與廢除是順序的話，那么序數(shù)低于正在使用的密鑰的所有密鑰都已過(guò)期，相應(yīng)的存儲(chǔ)區(qū)應(yīng)清零。當(dāng)為了跳過(guò)一個(gè)密鑰而使用強(qiáng)制的密鑰更換時(shí)，由于被跳過(guò)的密鑰不再使用，也應(yīng)執(zhí)行清零。

　　5、密鑰的銷毀。在密鑰定期更換之后，舊密鑰就必須被銷毀。舊密鑰是有價(jià)值的，即使不再被使用，有了它們，攻擊者也能讀到由它加密的一些舊消息。要安全地銷毀存儲(chǔ)在磁盤上的密鑰，應(yīng)多次對(duì)磁盤存儲(chǔ)的實(shí)際位置進(jìn)行寫覆蓋或?qū)⒋疟P切碎，并應(yīng)寫下一個(gè)特殊的刪除程序讓它察看所有磁盤，尋找在未用存儲(chǔ)區(qū)上的密鑰副本，并將它們刪除。