密鑰是加密運算和解密運算的關鍵，也是密碼系統(tǒng)的關鍵。根據(jù)近代密碼體制的觀點，密碼系統(tǒng)的安全取決于密鑰的安全，而不是密鑰算法或保密裝置本身的安全。密碼體制可以公開，密碼設備可以丟失，同一型號的加密設備可以繼續(xù)使用，但若密鑰一旦丟失或出錯，就會使非法用戶竊取信息，將密鑰泄露給他人意味著加密文檔還不如使用明文，因此密鑰管理在計算機的安全保密系統(tǒng)的設計中極為重要。

　　密鑰管理是指綜合了密鑰的產(chǎn)生、分配、存儲、組織、使用、銷毀等一系列技術問題的管理，同時又包含了行政管理和人員素質問題的管理。

　　密鑰管理的根本意圖在于提高系統(tǒng)的安全保密程度。一個良好的密鑰管理系統(tǒng)，尤其是密鑰的生成與分配，應當盡量減少人的直接干預，做到：

　　1、密鑰難以被非法竊取。

　　2、在一定條件下，即使被竊取了也無用。

　　3、密鑰分配和更換的過程對用戶來說是透明的，用戶不一定親自掌握密鑰。

　　密鑰保護技術涉及密鑰的傳送、注入、存儲、使用、更換、銷毀等多個方面，以下簡要介紹在密鑰管理中密鑰保護的幾個基本問題：

　　1、密鑰的注入。加密設備里的最高層密鑰(主密鑰或一級密鑰)通常都需要以人工的方式裝入。把密鑰裝入到加密設備里去經(jīng)常采用的方式有：鍵盤輸入、軟盤輸入、專用的密鑰注入設備(即密鑰槍)輸入。密鑰除了正在進行加密操作的情況，其他情況應當一律以加密保護的形式存放。密鑰的注入過程應有一個封閉的工作環(huán)境，所有接近密鑰注人工作的人員應當是絕對安全的，不存在可被竊聽裝置接收的電磁或其他輻射。

　　采用密鑰槍或密鑰軟盤應與鍵盤輸入的口令相結合，只有在輸入了合法的加密操作口令后才能激活密鑰槍或軟盤里的密鑰信息，所以應當建立一定的接口規(guī)約。在密鑰注入過程完成后，不允許存在任何可能導出密鑰的殘留信息，比如應將內存中使用過的存儲區(qū)清零。當使用密鑰注入設備用于遠距離傳遞密鑰時，注入設備本身應設計成像加密設備那樣的封閉式的物理、邏輯單元。在可能的條件下，重要的密鑰可采取由多人、多批次分開完成注入，這種方式的代價較高，但提供了多密鑰的加密環(huán)境。密鑰注入的內容應不能被顯示出來。為了掌握密鑰注入的過程，所有的密鑰應按照編號進行管理，而這些編號是公開的，可顯示的。

　　2、密鑰的存儲。在密鑰注入以后，所有存儲在加密設備里的密鑰平時都應以加密的形式存放，而對這些密鑰解密的操作口令應該由密碼操作人員掌握。這樣即使裝有密鑰的加密設備被破譯者拿到，也可以保證密鑰系統(tǒng)的安全。

　　加密設備應有一定的物理保護措施。一部分最重要的密鑰信息應采用掉電保護措施，使得在任何情況下只要一拆開加密設備，這部分密鑰就會自動丟失。如果采用軟件加密的形式，應有一定的軟件保護措施。重要的加密設備應有緊急情況下清除密鑰的設計。在可能的情況下，應有對加密設備進行非法使用的審計的設計，把非法口令輸入等事件的產(chǎn)生時間等記錄下來。高級的專用加密裝置應做到：無論通過直觀的、電子的或其他方法(X射線、電子顯微鏡)都不可能從密碼設備中讀出信息。對當前使用的密鑰應有密鑰的合法性驗證措施，以防止密鑰被篡改。

　　3、密鑰的有效期。密鑰不能無限期地使用，密鑰的使用時間越長，它泄露的機會就越大。而且一旦泄露，損失就越大。不同的密鑰應有不同的有效期，基于連接的系統(tǒng)如電話，就是把通話時間作為密鑰有效期，當再次通話時就啟動新的密鑰。密鑰加密密鑰無需頻繁更換，因為他們只是偶爾進行密鑰交換。而用來加密保存數(shù)據(jù)文件的加密密鑰不能經(jīng)常地交換，因為文件可以加密貯藏在磁盤上數(shù)月或數(shù)年。公開密鑰應用中私人密鑰的有效期是根據(jù)應用的不同而變化的，用于數(shù)字簽名和身份識別的私人密鑰必須持續(xù)數(shù)年甚至終身，用于拋擲硬幣協(xié)議的私人密鑰在協(xié)議完成之后就應立即銷毀。

　　4、密鑰的更換。一旦密鑰有效期到，必須清除原密鑰存儲區(qū)，或者用隨機產(chǎn)生的噪聲進行重寫。但為了保證加密設備能連續(xù)工作，也可以設計成新密鑰生效后，舊密碼還繼續(xù)保持一段時間，以防止在更換密鑰期間出現(xiàn)不能解密的死報。

　　在密鑰更換過程中不應產(chǎn)生設備服務的中斷。密鑰更換可以采用批密鑰的方式，即一次性注人多個密鑰，在更換密鑰時可按照一個密鑰生效，另一個密鑰廢除的形式進行。替代的次序可采用密鑰的序號。如果批密鑰的生效與廢除是順序的話，那么序數(shù)低于正在使用的密鑰的所有密鑰都已過期，相應的存儲區(qū)應清零。當為了跳過一個密鑰而使用強制的密鑰更換時，由于被跳過的密鑰不再使用，也應執(zhí)行清零。

　　5、密鑰的銷毀。在密鑰定期更換之后，舊密鑰就必須被銷毀。舊密鑰是有價值的，即使不再被使用，有了它們，攻擊者也能讀到由它加密的一些舊消息。要安全地銷毀存儲在磁盤上的密鑰，應多次對磁盤存儲的實際位置進行寫覆蓋或將磁盤切碎，并應寫下一個特殊的刪除程序讓它察看所有磁盤，尋找在未用存儲區(qū)上的密鑰副本，并將它們刪除。