Почему это важно
Защищённый ключ в состоянии покоя — лишь часть задачи. Ключи должны использоваться для подписания транзакций, резервироваться на случай потери, ротироваться при компрометации и передаваться при событиях правопреемства. Каждая операция создаёт возможности для ошибки или атаки. Управление ключами определяет, как эти операции выполняются безопасно.
Как это работает
Генерация: Ключи должны создаваться с использованием доверенного оборудования с проверяемой случайностью. Среда генерации должна быть изолированной и верифицированной.
Хранение: Ключи должны быть защищены соразмерно их ценности. Ключи высокой ценности требуют холодного хранения, географического распределения и физических мер безопасности.
Контроль доступа: Кто может использовать ключи, при каких условиях, с какой авторизацией? Двойной контроль (требующий нескольких человек) и разделение обязанностей (разные люди для разных функций) снижают внутренние риски.
Резервное копирование и восстановление: Резервные копии должны существовать для предотвращения потери, но каждая копия — это поверхность атаки. Стратегия резервного копирования должна балансировать между устойчивостью и защитой.
Ротация и вывод из эксплуатации: При возможной компрометации ключей активы должны быть перемещены на новые ключи. Старые ключи должны быть надёжно уничтожены. Сам процесс ротации должен быть безопасным.
Аудит и мониторинг: Использование ключей должно регистрироваться. Аномальные паттерны доступа должны вызывать оповещения. Регулярные проверки должны подтверждать, что контроли остаются эффективными.
Типичные ошибки
- Ключи, сгенерированные на скомпрометированном оборудовании
- Резервные копии, хранящиеся небезопасно или отсутствующие вовсе
- Доступ, предоставленный слишком широко или без надлежащего контроля
- Отсутствие процесса ротации при подозрении на компрометацию
- Планы правопреемства, которые не учитывают передачу ключей
